部落格與觀點

Pwn2Own Automotive 特別關注全球連網汽車安全，並希望解決真實世界日益增長的汽車資安威脅網路威脅。這是全球第一個致力發掘及解決連網汽車技術漏洞的比賽。

柏林工業大學的研究人員最近公布了一種透過車輛硬體的攻擊，從載有AMD晶片的車載信息娛樂系統（IVI）來越獄並解鎖特斯拉。在這篇文章中，我們將深入探討這種攻擊的方法，並探討它對汽車網路安全的影響。

Zenbleed (Zen在流血) 是一個影響 AMD Zen 2 處理器的嚴重漏洞，可能導致寄存器無法正確寫入零，進而促使數據、密碼和其他敏感資料的洩露。我們將進一步分析成功利用這個Zenbleed漏洞對汽車行業可能產生的影響。

我們建立了一個小型低成本的 TSN 網路實驗室，藉以研究並尋找出車用乙太網時效性網路(TSN)的能力。我們把重點放在實際應用中 IEEE 802.1AS 和 802.1Qbv 兩個標準，因為它們很常出現在大規模的實際應用中。

在最近剛結束的WCX 2023研討會上，軟件定義汽車、自駕車和電動車等技術發展皆是討論的主題。在本文中，我們將檢視與這些技術發展相應的風險，並探討汽車工業向IT產業借鏡，學習如何應對潛在的安全問題。

我們討論了竊賊的手法，如何通過CAN注入攻擊(CAN injection)進行汽車搶劫。並對汽車製造商(OEMs)提出建議，如何保護其車輛以免遭遇類似的事件。

研究人員透過廣泛使用所謂的車聯網應用偽裝平台 (VASP) 來說明車聯網受到網路攻擊的各種情境。同時也討論了這些攻擊情境在不同車聯網世代上的有效性。我們可以看到，新一代的車聯網技術將通過更嚴格的加密和更先進的通訊協定來提升安全性。

在未來十年內，高級駕駛輔助系統（ADASs）的需求有望增加。這些技術可以幫助監控、警示、制動和轉向等任務。然研究顯示，先進的駕駛輔助系統(ADAS)容易受到紅外線雷射技術的攻擊，這可能會危及自動駕駛車輛的安全性和可靠性。

Brokenwire是一種利用無線訊號干擾，可遠端造成電動車無法充電的攻擊手法。我們再次探討Brokenwire攻擊，該攻擊利用了複合式充電系統(CCS)的漏洞，而CCS是目前主流的電動車直流電快速充電規格。隨著電動車變得越來越普及，為了滿足其新需求而建立的基礎設施和電動車充電設備(EVSE)也必須跟上步伐。當受攻擊面不斷擴大，又存在著看不見的安全漏洞，我們需要在它們變成真實威脅之前加以考慮並防患未然。

資安風險不盡全在電動車本身，其供電設備上也可能潛藏危機。VehicleSec 2023大會中有研究人員發現並通報了一個充電設備的缺陷，此缺陷很可能會導致稱作”充電樁勒索攻擊”的攻擊情境。本文說明了在此情境中，潛在攻擊者如何透過將電動車鎖扣在易受攻擊的充電站來完成勒索攻擊，以及VicOne xNexus如何及早發現異常以避免這類潛在的威脅。

2022年10月開始美國加州的數位車牌已經合法，車主可以開始客製化自己的車牌並且透過手機應用程式來追蹤車輛位置。而數位車牌管理系統中發現的漏洞也可能招致安全的危害。VicOne分析並建議安全擁抱新的汽車科技。

汽車安全如何預防和降低資料外洩的影響？ 讓我們一起審視汽車行業的資料外洩案例、分析並提供見解