【行業新聞】車用電子的資安風險管理

 

【汽車產業趨勢】

車聯網時代來臨與自動駕駛系統的發展，汽車搭載ECU(汽車專用微控制裝置)、ADAS系統已越來越普遍，近年來汽車系統駭客事件層出不窮，系統漏洞偵測與修補問題也浮出檯面，這可能會影響車體多個部分運作異常，其中被列為高風險的部分如下：

• GPS干擾：受到此攻擊的車體可能對附近車輛、障礙物、車道線甚至目的地等等的距離與方向產生誤判，導致系統控制車速或車體移動方向異常，在目前還是人類駕駛操作的情況下可人為即時控制，若今後全自動駕駛車輛正式上路，此漏洞可能導致嚴重交通問題。

• V2V(Vehicle)/ V2I(Infrastructure)系統：此系統可透過與前車距離、車速偵測(V2V)；與基礎設施、道路線偵測(V2I)回傳資料後經過電腦運算並做出反應(如加減速、輔助變換車道、維持車輛置中、自動閃避撞擊等等安全性措施)，讓車輛與車輛(基礎設施、道路)之間在行駛中更有保障。當此系統受到駭客攻擊時可能導致距離偵測失常或計算結果誤差造成意外。

• OBD車上診斷系統：專用於偵測車體異常並警示駕駛維修(儀錶板警示燈)，在前往車廠維修時可回報數據提供維修人員，對於行車安全是非常重要的基本裝置，一但被駭入可能導致駕駛在未知車體部件異常時上路而釀成意外。

• 第三方軟體：市面上有許多第三方軟體可補足裝置本身缺少的功能，但這些軟體皆無法確保有通過安全測試，可能存在許多漏洞，使用者需要承擔很大的資安風險，當第三方軟體被用於汽車系統時，資安風險衍生的問題可能嚴重影響行車安全。

• 車載娛樂系統(IVI System)：近代生產的車輛大多都有搭載娛樂系統，包括通訊、影音、遊戲等等，目前仍未有娛樂系統能做到零漏洞，因此這些軟體非常容易成為遠端駭客的目標，當車上娛樂系統被攻擊時，駭客能全面操控通訊功能、畫面、音訊，造成駕駛與乘客不便或威脅。

• 挾帶惡意程式的音樂檔案：除了系統漏洞讓駭客有機可趁，音樂裡也可能藏有惡意程式化作的一段音波，導致車輛裝置被無接觸式的駭入。

 

【國際法規標準】

自2021年陸續頒布歐盟 UNECE WP.29 R155,156 與 ISO/SAE 21434 法規：

• R155: 針對網路安全與網路安全管理系統訂定，希望能確保產品(車輛)在生產到售出後至少10年內都能符合安全標準，同時需管理車輛資訊風險、透過設計來減輕在價值鏈中的風險、偵測整個車聯網(車隊)的安全事件。

• R156: 針對OtA更新訂定，確保提供安全的軟體更新不損害車輛安全。

• ISO/SAE 21434: 旨在建立車聯網網路安全架構。

歐盟已聲明自2022年7月起發布的新車型以及2024年7月起生產的車輛都將強制執行法規，日韓則將等待法規生效後執行。