風險數據鋪就的汽車產業未來之路

2023年 VicOne 汽車網路安全報告

風險數據鋪就的汽車產業未來之路

2023年11月15日

隨著數據在汽車網路安全中的重要性日益凸顯,VicOne 關注不斷擴大的車輛數據世界中的安全缺口,並指出今年出現的安全趨勢。

研究報告VicOne 2023 年汽車網路安全報告的一部分。本調查深入探討汽車數據生態系統、流經該生態系統的各種數據類型、由此產生的挑戰以及帶來的風險。

本研究報告參考趨勢科技旗下 Trend Research 在汽車數據方面的研究成果,全面呈現汽車產業所面臨的未來,以及如何為 2024 年及以後更好地規劃汽車網路安全策略

解析汽車數據生態系統

解析汽車數據生態系統

汽車數據生態系統

汽車數據生態系統是由數據流相互連接的汽車產業各實體組成的龐大網絡。這些實體包括車輛、製造商(OEM)一級(T1)和二級(T2)供應商、數據中介商和數據消費者。汽車數據生態系統遠不止 OEM 和 T1/T2 供應商,還涵蓋了消費者、第三方服務提供商以及新興應用和產品等更廣泛的領域。

在這個生態系統中,車輛已不僅僅是數據的產生者——它們同時也成為了大量數據的消費者和傳輸者。因此,車輛必須被視為複雜的數據樞紐來加以處理。

事實上,在趨勢科技研究人員為 VicOne 撰寫的報告《汽車數據:聯網車輛環境中的機遇、變現與網路安全威脅》中,這一生態系統的龐大規模本身就是一項重大發現。

從汽車數據中
提取價值

為了更深入理解汽車數據生態系統的廣泛影響,我們需要了解在這個互聯實體網絡中流動的資訊類型。為此,我們在研究報告中列出了數據類別和數據欄位,如位置(GPS)、引擎、燃油、電池、駕駛行為、診斷故障碼(DTC)和胎壓監測(TPM)等。

查看汽車數據資訊圖表

查看汽車數據資訊圖表

在研究報告中,我們還討論了產生這些類別的數據探索方法。研究人員詳細描述了在趨勢科技遙測數據中發現的車輛與 OEM/T1/T2 雲端之間的 API 呼叫,以及公開 MQTT(訊息佇列遙測傳輸)伺服器上的車輛數據洩漏實例等真實案例。

當數據能夠用於發現新見解時,它才真正具有價值。我們以汽車產業乃至其他產業如何透過組合不同數據欄位來推導更多數據類型並產生更深入見解為例加以說明。

推導數據

組合數據欄位

油耗效率

=

GPS GPS

+

引擎 引擎

+

燃油消耗 燃油
消耗

排放分析

=

引擎 引擎

+

燃油 燃油

+

駕駛行為 駕駛
行為

最佳路線規劃

=

GPS GPS

+

引擎 引擎

預測性維護

=

引擎 引擎

+

GPS GPS

+

DTCs DTCs

駕駛表現

=

GPS GPS

+

引擎 引擎

+

燃油 燃油

+

煞車 煞車

電動車續航里程

=

電池 電池

+

GPS GPS

+

駕駛行為 駕駛
行為

輪胎健康狀態

=

胎壓 胎壓

+

TPM警告 TPM
警告

微氣象

=

雨刷 雨刷

+

煞車 煞車

+

外部溫度 外部
溫度

停車分析

=

車輛狀態 車輛
狀態

+

GPS GPS

交通預測

=

車輛性能 車輛
性能

+

GPS GPS

車輛安全狀態

=

車門 車門

+

後車廂 後車廂

+

車窗 車窗

+

GPS GPS

從不同車輛數據類型推導出的資訊

透過這些車輛數據類型,汽車產業可以獲得洞見並創造創新的商業模式。汽車產業甚至可以擴展至數據驅動的產品和服務,為銀行、物流等其他產業提供價值。

揭露汽車數據的
網路安全風險

本研究的主要目標之一是探討汽車數據生態系統對聯網車輛安全的影響。汽車產業中數據變現的發展可能帶來更強勁的營收增長,但也可能激勵網路犯罪活動。如果這些數據的變現持續增加,我們預期針對聯網車輛的首次大規模攻擊將涉及數據。不難想像,如果這些數據落入網路犯罪者之手會帶來什麼樣的風險。

一個主要擔憂是駕駛者缺乏對這個複雜生態系統已經存在的認知。這妨礙了他們控制自身數據的能力,並危及他們的隱私。而現行法規尚未充分規範車輛數據的使用和收集,使問題更加複雜。

以下是改善汽車數據網路安全的建議:

  • 實施強健的數據保護措施。隨著車輛日益先進,實施強健的數據保護措施至關重要。
  • 告知使用者。OEM 和其他利益相關者應告知使用者數據收集做法、潛在風險以及如何保護其數據。
  • 保護車輛 API 安全。API 是網路犯罪者常用的存取點。因此,確保車輛 API 的安全應為優先事項。
  • 規範數據收集和使用。需要明確的法規來管理車輛數據的收集、儲存和使用。
  • 開發安全的中介軟體 API。API 的設計應考慮安全性,包含強大的認證和加密,以防止未經授權的存取。

汽車數據生態系統是汽車產業中廣泛且動態的領域,也是應對網路安全缺口的重要考量。在這些數據所帶來的創新與維護駕駛者的隱私和信任之間取得平衡,是邁向未來的關鍵。

趨勢科技前瞻威脅研究(FTR)團隊的 Numaan Huq、Vladimir Kropotov、Philippe Lin 和 Rainer Vosseler 在研究報告《汽車數據:聯網車輛環境中的機遇、變現與網路安全威脅》中探討了汽車數據生態系統及其深遠影響。

下載完整研究報告

本研究報告是 VicOne 2023 年汽車網路安全報告的一部分。我們將持續以今年公開報告的事件洞見來更新本報告,提供汽車產業及其數據生態系統所面臨的風險、威脅和挑戰的全面觀點。

從我們的資源了解更多

深入了解 汽車網路安全

Blog

數千輛車輛暴露於風險之中:零日漏洞揭示車用資安的關鍵盲點

這篇文章分析在主流售後車用裝置中發現的多項零日漏洞,並將其對應至汽車威脅矩陣(Automotive Threat Matrix),進一步說明攻擊者在現實生活中可能如何利用這些關鍵弱點進行攻擊。

閱讀更多 →
Blog

當安全機制成為單點故障:汽車製造商的教訓

本文分析了近期影響某位高奢汽車品牌的車輛癱瘓事件:事件經過、可能發生與未發生的情況,以及汽車製造商如何避免防盜系統影響車輛的可用性和安全性。

閱讀更多 →
Blog

了解電動車充電通訊中的漏洞:資安洞察與更廣泛的影響

這篇文章分析了近期 DEF CON 33 大會上揭露的電動車 (EV) 充電通訊漏洞,說明其緩解措施和對整個產業所帶來更廣泛深遠的影響。

閱讀更多 →
Blog

來自Pwn2Own Automotive:零日漏洞如何暴露電動車充電樁網路安全標準的不足Standards

我們分析了Pwn2Own Automotive競賽中發現的電動車充電樁漏洞,揭示現行電動車充電樁網路安全標準的不足之處,以及為何更強大、更統一的資安防護措施對於保障充電基礎設施的安全至關重要。

閱讀更多 →
查看更多

加速您的汽車資安之旅
從現在開始

申請示範 →