隨著電動車成為主流選項,資安專家正發出警告:具備一定連網與運算能力的電動車,正在成為駭客垂涎的新目標。
《華爾街日報》(The Wall Street Jornal)報導,這些裝有晶片和軟體的現代車輛,幾乎每天都需要插入充電樁充電,透過充電網、網路來回發送數據,並與車輛製造商、經銷商、家庭 Wi-Fi 網路、車主手機中的 App 等進行通訊,而這些龐大的運算與連接能力,正是駭客眼中的大好機會。
報導引述網路安全專家——麥肯錫(McKinsey & Co.)公司一位專門研究網路安全的副合夥人 Benjamin Klein 的說法指出,由於電動車的生態系統非常複雜,其中包括了供應鏈上不同的廠商,車輛本身也由不同的技術組合而成,這也代表了駭客有多少潛在的機會。
駭客可以如何駭進車子當中?想像一下:駭客可以將惡意軟體傳播到數千、數百萬輛電動汽車中,使這些車輛拋錨、癱瘓,直到車主們支付贖金;或者發動更為駭人的物理攻擊:駭進充電系統,使車輛電池過載,甚至起火燃燒。或者劫持車輛,使其加速導致事故等等,駭客們甚至還能透過控制充電網路來關閉部分電網。
三大漏洞在這裡:車輛、家用充電樁、公共充電樁
資安專家盤點出三大資安漏洞,分別是車輛本身、家用以及公用的充電樁。
漏洞一:車輛本身
諮詢公司 Bain & Co 的合夥人兼網路安全專家 Syed Ali 指出,一輛傳統的燃油車大約有 150 個電子控制單元,但現在一輛極其普通的電動車輛都裝有 3000 個以上晶片,並且使用了數百萬行以上的程式碼。然而,電動汽車產業在網路安全保護方面卻仍處於相當不成熟的早期階段。
諮詢公司 Accenture 的全球網路產業負責人 Jim Guinn 也認同這一說法。他並舉例指出,早在 2015 年時就有安全研究人員演示了駭客如何利用連網車輛的安全漏洞,從數英里之外的筆電入侵該車輛的電子設備並且完全控制其轉向、加速與煞車設備。隨後該汽車製造商召回了 140 萬輛汽車,以修復該漏洞。 Guinn 指出,那款車輛還是標準的燃油車,而具備更強大連網與運算能力的電動車,只會為駭客提供更多的攻擊目標。
漏洞二:家用充電器
家用 EV 充電器通常會與與其製造商相互通訊,並且與電力公司、Wi-Fi 路由器、手機 App 等相互連接。研究人員指出,駭客可以利用這些連接點來安裝惡意軟體。安全公司 Pen Test Partners 曾在 2021 年調查了 6 家美國、英國品牌的「智慧充電器」——也就是可以讓車主遠端監控和管理供電的充電設備——結果在其中發現了許多漏洞,這些漏洞可能能讓駭客劫持設備或者將惡意軟體感染至設備當中。
漏洞三:公共充電器
而在外頭的公共充電器也是駭客眼中的攻擊目標。這些充電器遍布購物中心、高速公路休息站、商業園區等等地方,而駭客可以連接到這些公共充電器並進行入侵、感染使用充電器的車輛,並在整個充電網路,像是車輛、家用充電器等,全面傳播惡意軟體。透過這些攻擊,電動車車主的充電帳號資訊也可能遭到竊取,駭客還能透過這些竊取到的資訊來達成免費充電等目的。
資安專家指出,事實上,這些充電基礎設施「相對缺乏安全性」,這是因為在該產品被設計時,就並未將安全性考量進去所導致。
此外,根據趨勢科技車用資安公司 VicOne 發布的 2022 汽車網路資安報告指出,其他像是無鑰匙系統、車內資訊娛樂系統(IVI)等,也都是可能遭受到駭客攻擊的目標。
電動車產業應「搶在駭客之前」及早聯手
Guinn 指出,由於電動車近年被大眾迅速接受,過於快速的測試週期、過於快速的生產速度,產生了為數眾多不為人知或者沒被檢查到的漏洞。
已有專家指出,電動汽車與充電產業應當聯合起來制定安全協議並且共同遵守,例如擬定網路防火牆、使用者身分驗證等安全協議。例如台灣已有鴻海成立「新能源車產業資安聯盟」,企圖將台灣打造成全球電動車資安領導場域。
且不光產業自身,公部門的助力也扮演著相當重要的角色。
舉例來說,美國已經在去年 9 月發布了汽車產業的「網路安全指南」,在該指南當中,美國國家公路交通安全管理局針對如何防止無線攻擊向汽車製造商提出建議。
VicOne 亦在其 2022 汽車網路資安報告中,向汽車產業決策者提出資安建議。例如 OTA 更新就是現代化汽車設計中不可或缺的一環,不但能透過線上更新強化車輛功能,也能在發現問題時不需召回車輛就能修正問題,然而該報告也警告,OTA 也將成為駭客攻擊目標,必須防止駭客利用這項機制入侵更新流程或者在軟體升級過程中植入惡意程式碼。
另外,即時回報車輛狀況也有助於提升資安量能,因為這能發掘並預防潛在資安問題,因此,車輛安全營運中心(VSOC)已經成為一種必要的存在,是汽車產業決策者應加強投資的項目之一。