旗下車用資安公司VicOne提出電動車資安攻防重點
【2022 年5月 26 日,台北訊】 全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 於上週(5月18日至5月20日)舉辦 Pwn2Own 駭客大賽展現科技創新實力,全球 10 億以上的企業及一般使用者都將因此競賽而獲得更優異的資安防護。
趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫每年都會舉辦這項大賽,今年是Pwn2Own的第 15 屆,總共提供 115萬5千美元的獎金來獎勵參賽的產業研究人員,為包括Microsoft、Tesla、Zoom等合作夥伴與贊助商VMware在內的軟體廠商揭露了 25 個零時差漏洞。
這項年度盛會專門鼓勵全球頂尖漏洞研究人員,針對企業軟體發掘各種熱門應用程式的最新漏洞,讓廠商能夠預先修補漏洞以防止被駭客利用。而賽中所挑選的軟體是為了鼓勵研究人員將心力集中在一些對全球企業及一般使用者最重要的領域。
趨勢科技營運長 Kevin Simzer 表示:「遠距上班將成為常態,而電動車的時代也已經來臨,不論這些運算裝置所在的位置為何,我們希望能夠確保這些運算領域背後的軟體安全無虞。不僅是對我們和我們的客戶,對於整個 IT 產業與每天使用這些軟體的所有使用者,Pwn2Own 駭客大賽所提供的威脅情報是非常珍貴的資訊。」
Microsoft Azure及M365安全企業副總裁 Aanchal Gupta 表示:「我們相當榮幸能與趨勢科技ZDI合作舉辦第 15 屆 Pwn2Own 大賽,這項競賽對Microsoft具有獨特且重要的地位,參賽者所發掘的每一個漏洞皆能加快我們對產品與服務的安全修補速度,進而守護世界各地成千上萬的客戶。」
發掘網路駭客如何利用新的方法來攻擊關鍵應用程式,同樣也有助於趨勢科技不斷創新,其中也包括了車用資安領域。對此,趨勢科技旗下車用資安子公司VicOne執行長鄭奕立表示:「在全球進入電動車世代之際,聯網汽車相關的系統漏洞與威脅將逐漸浮上檯面。透過Pwn2Own這樣的頂尖競賽,將有助於我們探索已知和未知的汽車資安威脅,進而深入地分析並研究未來可能的駭客攻擊手法,並進一步產出修補和防禦方案。」
在今年Pwn2Own的電動車類別競賽中,共有兩支參賽隊伍挑戰Tesla Model 3車用資訊娛樂系統與乙太網診斷系統的漏洞。根據VicOne研究團隊的觀察,車用資訊娛樂系統(In-Vehicle Infotainment system,IVI system)元件可被駭客遠端鎖定並利用來進行攻擊,並且IVI所使用類似手機或電腦的作業系統,相較於在電子控制單元 (ECU) 中使用的高度專業化的作業系統,更容易讓駭客上手並利用漏洞發動攻擊。另一點值得注意的是,目前市場上已經出現可疑分子販售用於解鎖IVI功能的漏洞,供應商更需與專業資安團隊合作以加速強化資安防禦進程。更多關於車用資訊漏洞研究請參考VicOne部落格文章 Takeaways from Tesla Hack in Pwn2Own Vancouver 2022。
如欲了解 Pwn2Own 2022 大賽結果的完整內容,請至:https://www.zerodayinitiative.com/blog/2022/5/18/pwn2own-vancouver-2022-the-results