PCDIY!業界新聞
趨勢科技車用資安新公司VicOne公布2022車用資安報告,針對智慧鑰匙、充電設施及勒索病毒威脅提出示警並發表預測
(本資訊由廠商提供,不代表PCDIY!立場) 2022-12-01 09:21:22
趨勢科技車用資安新公司VicOne發布最新2022車用安全研究報告,報告指出電動車產業正面臨日趨嚴重的資訊安全風險,特別是藉遠端無鑰匙進入系統 (remote keyless entry , RKE)、充電設施及車內娛樂(IVI) 等車用系統漏洞發動攻擊,將對電動車使用安全及財務造成損失。而針對車廠及供應鏈而來的勒索病毒與資料外洩威脅,亦將對電動車產業產生不可忽視的影響。
根據VicOne觀察發現,2022年CVE通用漏洞披露資料庫中,與汽車相關最為常見的三大弱點分別為:系統晶片(System-on-Chip,SoC)、作業系統核心(Kernel)和即時作業系統(Real-time operating system, RTOS),這些值得OEM廠商與供應商注意的漏洞和弱點,可能會導致數據損壞(data corruption)、系統或程序崩潰(systems or programs crashes)、阻斷服務(DoS)與程式碼執行(code execution),若這些弱點存在於車輛中,將嚴重影響車輛控制和安全。
回顧2022年整體汽車產業重大資安事件,最嚴重的前二名分別為「勒索病毒」與「資料外洩」,受害者橫跨開發、生產至銷售整個產業供應鏈,其中遭受勒索病毒攻擊的對象,又以供應商為大宗占67%,同時,與2021第一季相比,2022同期遭受勒索病毒攻擊的企業更增至30%,以Conti、LockBit和Hive等勒索病毒家族最為常見,他們利用已知技術侵入汽車供應鏈系統之中;而資料外洩(Data Breach)的部份則以客戶資訊為大宗,占整體外洩內容的41.7%註一。
針對汽車產業當前面臨的網路威脅,VicOne建議決策者應留意幾點安全建議:
開源軟體可快速建構汽車系統架構,但其潛藏的弱點卻可能嚴重影響車輛安全性,真正的安全是實現競爭力的同時也要保持安全的資訊環境。
空中下載技術 (Over-the-Air Technology, OTA)是電動車設計不可或缺的一部分,能增加安全性並省下成本。
維護電動車好比維護一座移動的大型數據中心,必須提高對於安全的要求,車輛安全營運中心(VSOC)的存在將不可或缺。
針對隨汽車市場發展快速變化的惡意攻擊,VicOne提供資安重點預測如下:
勒索軟體將持續影響汽車供應鏈,並將目標擴大至雲端供應商和車用元件。
開源軟體漏洞將影響更多車用元件。
無線電信號攻擊(重放、回放、阻斷、中間人攻擊及其他攻擊)將增加。
惡意軟體將被植入IVI/TCU系統。
駭客將利用晶片等級的漏洞發動攻擊。
OTA將成攻擊標的,駭客將可利用此機制於車輛中植入惡意程式碼。
攻擊者可繞過數位鎖(digital locks),並利用漏洞操控付款機制。
更多關於VicOne相關訊息請參考:https://www.vicone.com/zh
註一:資料統計期間從January 2021 to June 2022
根據VicOne觀察發現,2022年CVE通用漏洞披露資料庫中,與汽車相關最為常見的三大弱點分別為:系統晶片(System-on-Chip,SoC)、作業系統核心(Kernel)和即時作業系統(Real-time operating system, RTOS),這些值得OEM廠商與供應商注意的漏洞和弱點,可能會導致數據損壞(data corruption)、系統或程序崩潰(systems or programs crashes)、阻斷服務(DoS)與程式碼執行(code execution),若這些弱點存在於車輛中,將嚴重影響車輛控制和安全。
回顧2022年整體汽車產業重大資安事件,最嚴重的前二名分別為「勒索病毒」與「資料外洩」,受害者橫跨開發、生產至銷售整個產業供應鏈,其中遭受勒索病毒攻擊的對象,又以供應商為大宗占67%,同時,與2021第一季相比,2022同期遭受勒索病毒攻擊的企業更增至30%,以Conti、LockBit和Hive等勒索病毒家族最為常見,他們利用已知技術侵入汽車供應鏈系統之中;而資料外洩(Data Breach)的部份則以客戶資訊為大宗,占整體外洩內容的41.7%註一。
汽車產業應留意三大攻擊趨勢
VicOne最新車用資安報告也揭示了汽車業需注意的三大攻擊趨勢,首先駭客既有針對汽車產業供應鏈的攻擊手法將變得更加針對性,透過垃圾郵件散播或路過式下載(Drive by download)的方式散布勒索軟體以提高獲利效率。其次,資安事件所造成的營運中斷將不再是企業可能面臨到的最壞情況,被洩漏的客戶數據將更直接的影響企業聲譽。第三,威脅事件影響範圍不再侷限於受害者本身,將擴及影響上游客戶至下游供應商。電動車充電設施(EV Charging Stations)、Cloud API及遠端無鑰匙進入系統(RKE)成資安高風險地帶
報告中亦提及充電設施、Cloud API以及遠端無鑰匙進入系統(Remote Keyless Entry,RKE)等高風險面向。駭客可能透過電動車與充電站之間基於CAN bus-based的通訊協議劫持數據傳輸,或透過行動裝置收集用戶資料以滲透雲端服務權限,或者利用無線電通訊系統將惡意程式傳送至充電站或電動車以取得控制權。同時,也需留意被運用於車輛數據傳輸與連結前後端服務的Cloud API,一旦遭到破解,駭客便能長驅直入掌控車輛,因此必須限制其權限在最小合理使用範圍。此外,隨著無線電設備取得更加容易,相關程式碼編寫進入門檻降低,使得遠端無鑰匙進入系統(RKE)更容易被駭客利用,駭客可透過重放攻擊(replay attack)破解智慧鑰匙密碼,採取滾動式程式碼機制可有效防止此類型攻擊。VicOne致力守護未來車安全
趨勢科技核心技術部資深協理暨VicOne威脅研究副總裁張裕敏表示:「VicOne的願景是保護未來車的資訊安全,隨著電動汽車市場日益蓬勃興盛,可以預見駭客將為了謀取利益更加不擇手段,整體產業將比以往任何時候都面臨著更為巨大的挑戰。VicOne依託趨勢科技在網路安全領域30多年的深厚技術經驗,本報告希望能提醒車用供應鏈夥伴對眼前的資安攻擊威脅有所警覺,企業唯有摒棄舊思維,為每一階段的生產與服務量身打造符合需求的資安方案,才能快速應對各種新興威脅。」針對汽車產業當前面臨的網路威脅,VicOne建議決策者應留意幾點安全建議:
開源軟體可快速建構汽車系統架構,但其潛藏的弱點卻可能嚴重影響車輛安全性,真正的安全是實現競爭力的同時也要保持安全的資訊環境。
空中下載技術 (Over-the-Air Technology, OTA)是電動車設計不可或缺的一部分,能增加安全性並省下成本。
維護電動車好比維護一座移動的大型數據中心,必須提高對於安全的要求,車輛安全營運中心(VSOC)的存在將不可或缺。
針對隨汽車市場發展快速變化的惡意攻擊,VicOne提供資安重點預測如下:
勒索軟體將持續影響汽車供應鏈,並將目標擴大至雲端供應商和車用元件。
開源軟體漏洞將影響更多車用元件。
無線電信號攻擊(重放、回放、阻斷、中間人攻擊及其他攻擊)將增加。
惡意軟體將被植入IVI/TCU系統。
駭客將利用晶片等級的漏洞發動攻擊。
OTA將成攻擊標的,駭客將可利用此機制於車輛中植入惡意程式碼。
攻擊者可繞過數位鎖(digital locks),並利用漏洞操控付款機制。
更多關於VicOne相關訊息請參考:https://www.vicone.com/zh
註一:資料統計期間從January 2021 to June 2022
- 發表您的看法
請勿張貼任何涉及冒名、人身攻擊、情緒謾罵、或內容涉及非法的言論。
請勿張貼任何帶有商業或宣傳、廣告用途的垃圾內容及連結。
請勿侵犯個人隱私權,將他人資料公開張貼在留言版內。
請勿重複留言(包括跨版重複留言)或發表與各文章主題無關的文章。
請勿張貼涉及未經證實或明顯傷害個人名譽或企業形象聲譽的文章。
您在留言版發表的內容需自負言論之法律責任,所有言論不代表PCDIY!雜誌立場,違反上述規定之留言,PCDIY!雜誌有權逕行刪除您的留言。
最近新增
- 出國來板橋享受日本風情 夏日嘉年華體驗異國文化
- 蒼綠風暴再襲!ROG全新《初音未來》聯名系列驚喜曝光
- 站上AI浪頭!AI WAVE SHOW 匯聚200家企業 打造亞太指標AI應用平台 全台最大AI展!三天看懂300項AI產品如何改變產業與生活!
- 《放置七騎士》攜手WEBTOON《全知讀者視角》 推出全新英雄與豐富活動
- ENERMAX 36 週年感恩回饋,旗艦效能輕鬆擁有 史無前例業界最強CP 值 限時搶購!金牌電源CyberG II 限定
- 十銓科技推出 P250Q 一鍵銷毀固態硬碟 強化機敏資料防護、引領工控資安創新
- 印尼攜手 NVIDIA、Cisco 及 IOH,邁向主權 AI 目標
- 《無限暖暖》1.7版本「藍淚季」重拾被遺忘的珍寶吧!
- ENERMAX 36 週年感恩回饋,旗艦效能輕鬆擁有 史無前例業界最強CP 值 限時搶購!金牌電源CyberG II 限定
- MONTECH推出X5 與 X5M:定義無妥協的全新標準
- 燦坤3C家電7/10開賣Nintendo Switch 2瑪利歐賽車世界同捆組合 7/10當天到燦坤11家指定門市 每店前20名送燦坤限定獨家贈品 燦坤全台門市與燦坤線上購物網站刷指定銀行信用卡購Switch 2享限量最高現折520元+燦坤K幣無上限 舊換新再加碼10% 燦坤推出SAMSUNG Galaxy Z系列新機與Watch系列新錶預購活動 買就送獨家「星動大禮包」 買指定手機憑消費發票抽限
- 極致6K超高解析!ProArt PA32QCV創作者螢幕驚豔上市
最多人點閱
- Microsoft Azure Certified for IoT 快速打造智慧物聯網
- SP廣穎電通將於德國2015 Embedded World展示全方位工控系列產品
- 英特爾舉辦亞洲區創新高峰會 促進台灣與全亞洲產業體系的創新發展
- IEM於台北國際電玩展熱血開打,購買Intel Core i5/i7處理器系列+SSD 750即得限量好禮
- 深根台灣成就萬物相聯 2015 ARM®新竹辦公室擴大營運暨亞洲第一座CPU設計中心開幕
- AMD發表全球首款GPU硬體虛擬化產品線
- PLEXTOR感恩節大回饋,M6V卡禮來雙重送!
- 希捷科技:2016年六大科技趨勢
- 台灣微軟攜手台大電機 高中程式夏令營獲佳評
- 台灣微軟與Lamigo聯手 應援總冠軍封王賽「Win for 10」!
- InWin 805 NVIDIA EDITION機殼爆紅,迎廣GeForce GTX特仕版機箱正式開賣!
- AMD獲選2015年道瓊永續性指數 連續14年榮獲此殊榮
