時至今日,現代化汽車已經發展成為一種多功能的機器,它不僅可以將人們帶到目的地,還是一個可以支援連接到其他車輛、移動設備、交通基礎設施和雲端網路的複雜系統。這對現代功能提出了新的要求,迫使汽車行業通過不斷開發和發布智慧汽車設計來跟上潮流。但是,滿足這些需求並不是該行業目前面臨的唯一挑戰—更大的挑戰迫在眉睫,這使得汽車行業必須加強其網路安全。
汽車聯網改變了我們通過車輛與世界互動的方式。互聯網的存取、基於應用程序的遠端監控和管理以及自動駕駛等現代功能的加入,創造了通往網路空間的新門戶,並增加了聯網車主對不同類型軟體的依賴。事實上,每個汽車感應器或連接都需要引擎控制單元 (ECU) 中的軟體支援;但與所有技術發展一樣,這種依賴也帶來了新的漏洞,使聯網汽車面臨風險。
由於當今的車輛在進入行動網路或短程射頻通道的範圍內時會自動連接(類似於智慧裝置連接到藍牙或 Wi-Fi 的方式),這種連線方式為不法分子提供了駭客機會,可以通過攔截、竊取訊息,破壞汽車的正常功能,甚至危及車主的生命。
網路安全研究人員已確定以下是聯網汽車當前面臨的一些挑戰和可能的攻擊媒介:
- 高度分層的供應鏈系統。 一個元件中的漏洞,需要所有相關層包含 OEM 都進行並發布修復程式; 所有電子控制單元 (ECU) 韌體也需要更新,從而導致部署上的延遲。
- 不安全的電子控制單元 (ECU) 互連協議。 一些早期設計用於電子控制單元 (ECU) 互連的協議缺乏某些網路安全功能。 可能導致數據傳輸未加密,而發送者和接收者未經身份驗證。
- 不安全的來自售後維修的非原廠零件和服務。 大多數安裝在汽車上的設備,例如支持藍牙或 Wi-Fi 的多媒體設備,都運行在不安全或舊版的韌體上,就可能是攻擊者的入口。
研究人員還發現並收集了有關利用安全漏洞和其他可能的攻擊場景的各種技術的發現,例如:
- 硬體和軟體系統
- 控制器區域網路 (CAN)
- 應用程式
- 車載元件
- 無線網路協議
為了幫助汽車行業採用適當的網路安全措施和最佳實踐來確保用戶的安全, ISO/SAE 21434 「道路車輛 - 網路安全工程」因而誕生了。該標準包括一套指導方針,用於確保車輛設計、製造、維護和報廢階段的流程,旨在幫助滿足聯網汽車的安全水準要求。超過 80 個組織一同參與了該標準的編制工作,以支持汽車行業在整個汽車生態系統中保護其系統和流程。趨勢科技的研究文章 “ISO/SAE 21434: Setting the Standard for Connected Cars’ Cybersecurity” 中,詳細闡述了該標準的部分結構和細節的更新,並提供進一步的見解和建議。
聯網汽車的新時代確實為車載技術的發展提供了各種機會,但同時也暴露了網路安全領域的一些弱點。 為了保護未來的聯網汽車免受不斷變化的攻擊,安全分析師、研究人員和汽車製造商必須共同努力,不僅要與時俱進的跟上最新標準,還要預測攻擊者可能如何濫用聯網汽車生命週期中的關鍵漏洞。
造訪 VicOne 的資源中心以獲取更多汽車網路安全研究,並了解相關法規和指導方針的更多訊息。