記者陳建興/台北報導
趨勢科技車用資安新公司VicOne發布最新2022車用安全研究報告,報告指出電動車產業正面臨日趨嚴重的資訊安全風險,特別是藉遠端無鑰匙進入系統 (remote keyless entry , RKE)、充電設施及車內娛樂(IVI) 等車用系統漏洞發動攻擊,將對電動車使用安全及財務造成損失。而針對車廠及供應鏈而來的勒索病毒與資料外洩威脅,亦將對電動車產業產生不可忽視的影響。
根據VicOne觀察發現,2022年CVE通用漏洞披露資料庫中,與汽車相關最為常見的三大弱點分別為:系統晶片(System-on-Chip,SoC)、作業系統核心(Kernel)和即時作業系統(Real-time operating system, RTOS),這些值得OEM廠商與供應商注意的漏洞和弱點,可能會導致數據損壞(data corruption)、系統或程序崩潰(systems or programs crashes)、阻斷服務(DoS)與程式碼執行(code execution),若這些弱點存在於車輛中,將嚴重影響車輛控制和安全。
回顧2022年整體汽車產業重大資安事件,最嚴重的前二名分別為「勒索病毒」與「資料外洩」,受害者橫跨開發、生產至銷售整個產業供應鏈,其中遭受勒索病毒攻擊的對象,又以供應商為大宗占67%,同時,與2021第一季相比,2022同期遭受勒索病毒攻擊的企業更增至30%,以Conti、LockBit和Hive等勒索病毒家族最為常見,他們利用已知技術侵入汽車供應鏈系統之中;而資料外洩(Data Breach)的部份則以客戶資訊為大宗,占整體外洩內容的41.7%。
VicOne最新車用資安報告也揭示了汽車業需注意的三大攻擊趨勢,首先駭客既有針對汽車產業供應鏈的攻擊手法將變得更加針對性,透過垃圾郵件散播或路過式下載(Drive by download)的方式散布勒索軟體以提高獲利效率。其次,資安事件所造成的營運中斷將不再是企業可能面臨到的最壞情況,被洩漏的客戶數據將更直接的影響企業聲譽。第三,威脅事件影響範圍不再侷限於受害者本身,將擴及影響上游客戶至下游供應商。
趨勢科技核心技術部資深協理暨VicOne威脅研究副總裁張裕敏表示:「VicOne的願景是保護未來車的資訊安全,隨著電動汽車市場日益蓬勃興盛,可以預見駭客將為了謀取利益更加不擇手段,整體產業將比以往任何時候都面臨著更為巨大的挑戰。VicOne依託趨勢科技在網路安全領域30多年的深厚技術經驗,本報告希望能提醒車用供應鏈夥伴對眼前的資安攻擊威脅有所警覺,企業唯有摒棄舊思維,為每一階段的生產與服務量身打造符合需求的資安方案,才能快速應對各種新興威脅。」
