ITRI
活动+

连网车成黑客攻击标的 资安技术为巨大挑战

  • 邱龙杰
连网车的软件安全性就与车辆上的安全带、煞车等安全系统一样重要。法新社

连网汽车能有效预防事故发生以及提供前所未有的方便性,但到目前为止,汽车制造商尚未提供承诺的强大安全性,2018年4月奥迪汽车(Audi)被发现车载信息娱乐系统(IVI)有远程存取漏洞,5月BMW急于修补被大陆研究团队发现的14处安全漏洞,使得连网汽车安全成为技术上的巨大挑战。

现代汽车(Hyundai Motor)的Blue Link应用程序被爆料存在安全漏洞。在此之前,Tesla的Model S搭载的App也发现类似缺陷,研究人员证实黑客只要窃取用户身份验证,就可以定位和追踪汽车、打开车门,并可以远距启用无钥匙驾驶功能。

以上只是冰山一角。Security Boulevard报导指出,2017年8月一份研究报告揭露CAN Bus系统,主要指汽车的中枢神经系统存在设计缺陷,已经严重到足以让黑客控制车辆,而且由于系统属于供应商中立特性,因此这个漏洞在下一代车辆推出之前无法被修补。

据2016年美国研究机构VDC Reaserch出版的白皮书显示,许多原始设备制造商(OEM)正在努力发展和调整研发资源,预计未来企业内部代码的数量将增加近20%,但是许多OEM缺乏足够的软件工程师来应付这种规模。

一直以来,汽车都是黑客的目标,如果汽车被渗透,就可以被监视、窃取个人信息,甚至导致灾难性的身体伤害。一辆现代化汽车拥有150个传感器,由开源软件零件、商业或外包零件合并而成,再由代码将所有组合在一起,一个系统中涵盖数千万行代码,源自数百个来源,构成一个复杂的软件供应链。

因此对黑客而言,连网车的攻击面很广,包括IVI、CAN Bus和行动应用程序容易受攻击,车载诊断埠(OBD-II)也成为标的,影响的功能包括锁定和解锁车门、启动车辆或熄火,以及车辆GPS追踪。

汽车产业已经开始拟定应对方针,包括开始推动标准,提高供应链的安全性之外,另一个发展是采用以太网络协议取代CAN Bus协议,但以太网协议存在自身的安全挑战,因此从网络架构的设计开始,需要更积极的保护方法来建立安全性。

此外,一些公司还提供空中下载技术(OTA)更新软件,这是一个很好的概念,但不像修补计算机那么简单。修补计算机漏洞只需下载软件更新、重新启动就好,但车辆的软件更新更为复杂,部分原因是不同子系统之间有很多交互作用,即使来自同一制造商也是一样。

汽车制造商知道强大的软件安全性与车辆上的其它安全系统一样重要,象是安全带、备用镜头、防锁死煞车系统(ABS)等。VDC Research报告指出,截至2016年,集成软件开发环境(IDE)安全性、组态管理和静态程序分析,是当前汽车软件计画中最常用的工具类型,显示制造商已经开始重视源头的安全技术。

更多关键字报导: 资安 连网车 (connected car)