部落格與觀點

在透過手機應用程式就能租車的時代，為了方便，安全可以退居二線？最近在台灣汽車租賃公司發生的資料外洩事件告訴我們個資安全的重要性以及受駭的影響，VicOne建議車主可以採取一些動作來保護自己的個資。

首次參加全球相當具影響力的CES國際消費性電子展，VicOne藉此機會推出智慧座艙資安方案(Smart Cockpit Cybersecurity solutions)。除了在場中展示安全的智慧座艙，並在會展期間與MIH策略夥伴及汽車供應商的小型會談中暢聊未來的電動交通的安全需求與對策。

2023 年 1月就有兩家車廠成為數據外洩事件的犧牲品。顯示未來在汽車網路安全防護上，單靠合規的弱點管理和軟體物料清單(SBOM)檢測潛在風險已不足以抵擋越來越複雜的攻擊與威脅。車輛的網路安全防護需要從量產(Start of Production, SOP)階段就開始，因為不論在汽車供應鏈上的任何一個環節遭受攻擊，整個車廠和供應鏈都會受到影響。

Gartner®在市場趨勢報告「Market Trend: Connected and Autonomous Vehicle Data Enhances Software Life Cycle Management Transformation」中提到了VicOne的車用資安方案可透過聯網汽車收集到的車載數據檢測可疑行為並實現遠端汽車安全監控。VicOne在車輛整個生命週期的不同階段都能提供強大、靈活、合規的解決方案，滿足車輛的網路安全需求。

2022年10月開始美國加州的數位車牌已經合法，車主可以開始客製化自己的車牌並且透過手機應用程式來追蹤車輛位置。而數位車牌管理系統中發現的漏洞也可能招致安全的危害。VicOne分析並建議安全擁抱新的汽車科技。

繼去年 12 月中國一電動汽車製造商遭駭導致數據洩露，1月初又有兩家汽車製造商 (OEM) 成為可能資料外洩的受害者：Toyota印度的合作廠商遭駭造成部分Toyota印度的客戶資料外洩，以及Volvo公司內部系統資料包含員工資料、存取憑證等疑似外洩放在暗網銷售。VicOne團隊研究兩起事件並分析汽車製造商可能遭駭的途徑以及提供必要的資安方案來保護車廠和供應商的資料安全。

資料外洩事件又一樁。中國電動汽車大廠蔚來(NIO)據報遭駭客入侵竊取近40萬車主與2.28萬員工個資，被勒索225萬美元的等值比特幣。VicOne呼籲電動車車主以及車用供應鏈夥伴們要留意個資保護及警覺資料外洩可能造成的危害。

Sirius XM的衛星廣播服務含有一個身分認證漏洞，駭客可遠端存取採用此服務汽車品牌中的車載資訊系統。雖然目前漏洞已經被修補，但同時說明了有心的攻擊者可以循此方式來挾持車載資訊系統也增加車用供應業者的受駭風險。看VicOne 如何協助減少此類的資安風險。

這是VicOne的第一份年度車用資安報告，除了回顧2022年整體汽車產業的重大資安事件，也預測了汽車產業於生產服務供應階段需注意的資安威脅趨勢，並為連網汽車安全上路提出建議。

針對汽車產業面臨到的攻擊門檻低以及供應鏈脆弱的安全防護問題，VicOne的車用安全評估方案自建各種攻擊模擬情境，從設計階段就協助汽車製造商及相關零組件供應商把關資訊安全，並且為未來的威脅做好準備。

OpenSSL 在11月釋出3.0.7版本，用以修補CVE-2022-3602、CVE-2022-3786，影響範圍包含OpenSSL 3.0.0-3.0.6。汽車製造廠商和相關軟體供應商使用OpenSSL進行安全通訊，除了應掃描系統確認內部應用程序是否使用受影響的版本，VicOne並建議部署更全面的車用資安策略來保護聯網車輛以防範漏洞危害。

車載入侵檢測和預防系統 (IDPS) 透過檢測出電子控制單元 (ECU) 級別的攻擊並即時反應每個攻擊來保護連網汽車和電動車。