智慧電動車的未來資安風險大剖析
智慧電動車的未來資安風險大剖析
現今電動車的普及,引導駕駛行為進入了人機協作的新時代。由此衍生的行車資訊系統安全、行車與個人資料的保護等風險議題,將深深影響未來電動車產業發展。
新一代的智慧電動車,與傳統的汽車最大的差別,在於過去是人控制方向盤,而電腦僅提供輔助的資料;而現今電動車的普及,則引導駕駛行為進入了人機協作的新時代,以電腦運算為核心的智慧系統,會介入甚至主導方向盤與駕駛操控過程。KPMG安侯數位智能風險顧問(股)公司 董事總經理謝昀澤認為,由此衍生的行車資訊系統安全、行車與個人資料的保護等風險議題,將深深影響未來電動車產業發展。
「𩵚魠魚羹」讓特斯拉當機?
謝昀澤舉例,近期在台灣發生的「導航到XX𩵚魠魚羹」使特斯拉導航系統當機事件,只因車用電腦遇到中文特殊字「𩵚」無法處理的小瑕疵,而造成導航系統大當機的Bug,這讓人深刻的瞭解到強大的智慧車系統也有的脆弱面。謝昀澤表示,未來車輛更高階自動駕駛模式,依賴導航系統的程度更深,因此如果在啟動自動駕駛的過程中發生導航當機情況,後果可能不只是車輛迷航,而可能是事關行車安全的意外事故了。而更值得注意的是,這個車機處理中文碼的小瑕疵事件,恐怕已經變成未來駭客鑽研車用電腦攻擊的其中一個發想點。
隔空取車的新風險
謝昀澤表示,以外部惡意攻擊者或偷竊者的角度而言,針對智慧電動車,駭客可不需要接觸車輛,就能「隔空取車」。由目前被揭露的攻擊事件來分析,駭客利用車輛免鑰匙啟動系統、車用電腦作業系統、車用通訊、車用無線網路等發掘多處的漏洞,在充電場域或其他遠距地點,就有可能進一步竊取車輛本體、入侵車用電腦,甚或進一步控制車窗、空調、剎車系統,影響行車安全。
另外,特斯拉近期在不改變車輛硬體的情況下,即藉由「空中下載」(Over The Air updates, OTA)的軟體升級指令,將百公里加速時間瞬間縮短,這種以「遠距軟體升級以改善實體性能」方式,如同現有的電腦或手機App更新軟體一般輕鬆,確實對駕駛者的數位體驗有大幅的提升。但謝昀澤也擔心,過去曾發生台灣知名品牌電腦的軟體更新主機遭入侵,駭客藉由線上更新管道,於百萬台筆電偷散布後門程式的事件,因此車輛的OTA系統,是否成為未來駭客的新破口?非常值得關注。
駭客眼中的新藍海
現今「以網路駕馭馬路」的車聯網技術已經普遍應用,要非法控制一部車輛,可不是一般開鎖道具就能做到。謝昀澤認為,從遠端入侵汽車的方法,與其他物聯網設備的攻擊比較,「應用技巧不相同、邏輯步驟很類似」,都尋找可突破的單點,先嘗試縱向取得管理權限,再橫向擴大感染範圍,嘗試控制車輛內部其他系統。這個領域將成為駭客眼中的新藍海,而傳統偷車賊,正在被從虛擬空間網路跨界來到實體汽車的駭客所取代,會面臨失業的風險。
除了Safety,也要Security
KPMG安侯數位智能風險顧問(股)公司創新服務總監林軒宇預測,未來在車輛高度互動(Vehicle to Vehicle、Vehicle to Everything)的運作架構之下,若是單一車輛出現可利用的漏洞被攻破防線,駭客還可能擴大惡意程式感染範圍到一群車輛,甚至與車輛相聯的其他物聯網應用上。因此林軒宇提醒台灣參與EV(電動車)產業的零件及服務供應商,電動車所關注的議題除了生產品質、流程、車輛安全性(Safety)之外,更應融入資安(Security)的考量。
林軒宇認為,其中的關鍵思維就是「Security by Design(融入資安防禦架構)」,在汽車開發、設計、生產及售後階段,事先識別和管理車聯網及智慧車輛本身所面臨到的各項數位風險,並確保風險已得到適當管理或回應。至於實際作法,業者應密切注意已經或即將公告的汽車產業資安國際標準或法規。
© 2024 KPMG, a Taiwan partnership and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
For more detail about the structure of the KPMG global organization please visit https://kpmg.com/governance.