report
Energy Taiwan

車用元件朝IoT化發展 從駭客攻擊途徑強化車聯網安全

  • 林芬卉
Karamba Security提出車聯網資訊安全主要作法。Karamba Security

現今全球投入810億美元於自駕車領域發展,未來自駕車導入連網功能比重亦愈來愈高,對駭客而言,汽車將是其下階段攻擊目標之一,因此網路安全漸成為汽車產業關注議題。以色列商Karamba Security為車聯網資安業者,目前已與17家一級供應商(Tier 1)合作,該公司行銷副總Amir Einav從汽車架構、駭客攻擊途徑等,提出車聯網資訊安全主要作法。

從近期汽車產業所發生的資安問題案例來看,2018年某高階車款被找到有14個漏洞,若駭客要對該輛車發動攻擊,專家預測僅需幾秒鐘的時間就會發生;甚至有吉普車因遭到駭客攻擊而掉進水溝。其他案例尚包括當車主踩煞車時居然沒反應,或者放CD進去無法播放音樂,接下來就面臨被駭客勒索情形。

駭客攻擊的主要途徑,是透過車載資通訊系統,在遠端奪取汽車的控制權,也就是將指令傳送到CAN(Controller Area Network)控制器區域網路來控制車子;車子內部原已寫入許多程式碼,一輛頂級車款內含1億行的程式碼,自駕車則增至3億行,換句話說,程式碼行數愈多,車子被攻擊的機率也愈高。

過去3年當中,汽車內部的電子控制單元(ECU)變成駭客攻擊的主要目標,原因是一般車款搭載約70個ECU、高階車款甚至達上百個ECU;ECU可視為一台微型電腦,而每個ECU彼此間都需要溝通及運作,藉由CAN將不同的ECU互連,故可將車子視為具有連線能力的ECU。

我們如何知道一台車被駭客攻擊?因每個ECU有自己的工作任務(例如防鎖死剎車系統、安全氣囊系統、定速巡航等),而該ECU只作自己任務的事情;當該ECU被發現作出非原先設定的工作任務時,則表示車子遭受攻擊。

接下來是車廠如何預防駭客攻擊?事實上,ECU裡的程式碼是由許多合法的工程師(又稱白名單)所撰寫,再由汽車供應商整合在一起,因此,當有異常程式入侵時,車子可驗證出是否受到駭客攻擊。

因ECU是功能導向非常高的元件,當ECU作出原本非它任務的事情,則立即阻擋其運作;再者,讓原廠知道程式碼的弱點在哪裡,並增加控制點,以確保汽車的安全性。只要是具備聯網功能的裝置(包含汽車),皆是攻擊者入侵所在,且程式碼中難免都會出現漏洞,為確保資訊安全,最好是裝置能做到自我保護功能。

未來車用元件大多數屬IoT裝置,因此要去思考如何保護車子的弱點、用預防性的手段阻止異常動作發生、防止駭客利用雲端及網路等路徑攻擊等,皆是未來車聯網資安技術發展方向。

更多關鍵字報導: Karamba 資安 電控系統(ECU) 車聯網