距離 2015 年 Jeep Cherokee 遠端入侵事件(Jeep hack)已逾十年,但車輛資安仍是車廠與供應鏈不可忽視的風險。專家指出,車輛愈來愈像「可連網的系統」,攻擊面也隨之擴大。當整套系統高度連線時,威脅也會隨之而來;車廠必須提高警覺並持續修補,才能讓車輛維持在可接受的安全水準。
回顧 2015 Jeep 事件:資安從示範走向常態戰
2015 年研究人員 Charlie Miller 與 Chris Valasek 展示的 Jeep Cherokee 遠端入侵事件:攻擊者可從車載娛樂系統切入,進而觸及車內通訊系統,並影響空調,方向盤與變速系統等關鍵功能。這起事件也促使 Chrysler 當年啟動 140 萬輛召回,成為整個產業的警鐘。
如今,車輛被形容為「輪子上的電腦」,不再只是交通工具。一旦操控權遭奪取,車輛可能成為具危害性的載具;隨著自駕車與無人計程車逐步上路,風險也將被放大。Ghali 以 Waymo 無人計程車為例指出,當車內電腦開始做出轉向,煞車與速度等決策時,便利性提升的同時,也意味著車廠必須承擔更高的安全責任。
供應鏈與軟體複雜度攀升,讓防護更困難
另一個推升風險的關鍵,是車輛系統與供應鏈日益龐雜。專家指出,一款車往往牽涉大量供應商,各自撰寫程式碼,整體程式碼規模可達數百萬行。此外,
車輛透過無線方式連接 App,並將資料回傳用於分析與服務,使攻擊面從車內延伸到雲端與行動端。
但問題在於,許多車用功能過去由非資安背景的人員導入,導致威脅建模,漏洞管理與安全測試之間仍存在落差。汽車工程與資安都是高門檻領域,能同時理解兩者的人才相對稀缺,也讓防護落地更具挑戰。
法規加速上路,AI 與後量子也成新考題
面對風險擴大,各國政府近年也加快制定車輛資安要求。例如,2021 年採用的聯合國第 155 號法規已被 63 個國家採納,包含歐盟、英國、日本與南韓。該法規要求車廠必須證明車輛已完成資安評估,並能在車輛預期 10 到 15 年的生命周期內持續維護安全。
同時,研究社群持續揭露車輛漏洞與攻擊手法,促使產業不斷修正防線。AI 正在改變威脅樣貌,而後量子加密等新一代防護機制,可能很快就會成為必備能力。
自動駕駛是產業的長期發展方向,車廠正投入大量資源,確保車輛及其控制系統能維持安全。專家指出,現階段雖已具備一定防護基礎,但仍需要持續檢討並強化,因為保護車輛從來不是容易的工作。
防護建議
- 建立車輛全生命週期的漏洞管理與修補流程,涵蓋車載系統、雲端服務與行動 App
- 針對供應鏈導入安全開發流程,並落實第三方元件與程式碼稽核
- 透過威脅建模與滲透測試,驗證自動駕駛與關鍵控制系統的風險
本文轉載自 DarkReading。