連網汽車面臨一連串不斷增加和不斷發展的網路威脅。我們的研究報告提供連網汽車可能面臨風險的深入探討。
科技加快了汽車所能帶來機動性和便利性的腳步。如今,連網汽車讓使用者即時取得導航和交通資料、播放所需的媒體內容、取得最新天氣狀況和碰撞警報等功能已經很常見。這要歸功於車聯萬物(V2X)通訊等連網技術及各種網際網路所驅動的應用程式和服務。
連網汽車變得越來越普遍。根據一項預測,到2020年結束前,全球將會有1.52億輛的連網汽車,而根據另一項預測,10年後連網汽車數量將達到7億輛。據估計,到了2034年,自動駕駛汽車將佔汽車購買量的10%。
隨著越來越多人在安全性、可存取性和資訊娛樂方面依賴連網汽車技術,加上連網汽車每天產生多達30TB的資料,保護連網汽車抵禦各種不斷變化的風險和威脅變得十分重要。
趨勢科技的報告「將安全性引入連網汽車:威脅模型和建議」研究了連網汽車的網路安全盲區,幫助開發商和製造商製造安全及智慧的汽車。
【2019年4月2日台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天宣布與全球數位策略與技術工程公司 Luxoft Holding, Inc (NYSE:LXFT) 策略聯盟。雙方將合作推出並部署一套包含Intrusion Detection System (IDS) 及 Intrusion Prevention Systems (IPS) 以專門保護連網汽車並偵測、防範及回應相關網路攻擊的入侵偵測與防護系統。
汽車產業正經歷快速變遷,事實上,根據 Gartner 估計,全球到了 2025 年將有超過 11 億輛消費型與商用連網汽車上路註一。連網汽車與行動服務將帶來龐大的全新商機,但隨著無所不在的連線與隨選服務的時代來臨,車廠將面臨全新的網路資安威脅。根據趨勢科技的資料,網路犯罪集團攻擊連網裝置的情況日益普遍,連網汽車亦無法倖免。
趨勢科技 IoT 資安執行副總裁 Akihiko Omikawa 表示:「我們很高興能與 Luxoft 合作,共同解決連網汽車日益艱難的資安挑戰。不論何種連網汽車皆必須一開始就具備安全防護,這套解決方案可讓汽車製造廠建立必要的防護以攔截網路資安威脅。結合 Luxoft 在汽車領域的專業能力與趨勢科技領先的網路資安技術,就能解決車內數位化系統所面臨的全新挑戰。」
繼續閱讀Pen Test Partners的資安研究人員發現由第三方行動應用程式管理汽車警報的漏洞。據報此漏洞影響到了約300萬輛使用這些智慧物聯網(IoT)裝置的汽車。以下是關於這些漏洞你所需要知道的資訊。
[相關新聞:晶片鑰匙漏洞讓駭客可以打開速霸陸汽車]
這些是什麼漏洞?
這些是管理智慧警報功能的應用程式API內的IDOR漏洞(insecure direct object reference)。當不安全應用程式暴露出對內部元件的數值、資料或引用時就可能發生。例如,IDOR漏洞可以洩漏儲存在應用程式後端的資訊。
在智慧警報案例中,API內的IDOR漏洞無法正確驗證對應用程式的請求。影響智慧警報的漏洞已經披露給受影響的廠商並加以修復。
繼續閱讀2015年,研究人員做到了從幾英里之外來遠端攻擊一輛Jeep Cherokee,在高速公路上行駛的同時控制了其轉向系統、剎車系統和引擎。他們是透過車上Uconnect資訊娛樂系統的連接漏洞進入,進而改寫韌體來讓他們可以輸入新指令。這次的研究成果也促使車商召回了受影響的汽車。
趨勢科技宣布與Panasonic建立新的合作夥伴關係,兩家公司將聯合開發聯網汽車的網路安全解決方案。充分結合雙方獨到的技能能力來打造能夠有效偵測和防止行車電腦(ECU)、資訊娛樂(IVI)設備(如導航系統)和車載資訊系統(Telematics)被駭的產品。
物聯網(IoT ,Internet of Thing)中幾乎沒有比聯網汽車更加令人興奮的應用了。根據Gartner的預測,到了2020年將會有6,100萬輛內建連網功能的車子在路上跑。但隨著我們越來越接近那充滿自動駕駛汽車的未來景象時,也就更加小心網路威脅在這領域中所可能造成的威脅。研究人員所實際進行的攻擊或展示都在在透露出災難性後果的可能性。
趨勢科技宣布跟Panasonic建立新的主要合作夥伴關係,這將會結合兩家公司的專業知識來替聯網汽車開發業界領先的車聯網安全解決方案。
越來越多的受攻擊面
因為我們對車載數位功能需求的不斷增加,也讓汽車加入越來越多的運算能力跟連線功能。根據麥肯錫的說法,今日的聯網汽車上可能有多達100個電子控制單元(ECU)– 行車電腦,用來控制從轉向、引擎、煞車到資訊娛樂等各種功能。裡面包含了高達數億行的程式碼;這樣的複雜性很可能會讓駭客找到漏洞攻擊。這裡的威脅不僅僅有一般網路攻擊會有的資料竊取問題,還涉及到了人身安全。 繼續閱讀
全球物聯網產業進入加速整合期,趨勢科技攜手微軟物聯網平台成為重要合作夥伴,並於13日展開的「微軟物聯網國際博覽會」(Microsoft IoT Expo)中,首度對台灣市場公布全新資安防護軟體開發套件,趨勢科技針對物聯網特性設計出全範圍的防護策略,透過雲端、網路以及端點提供全方位的安全防護架構網,協助物聯網廠商快速創造出安全的連網裝置及服務,無須費心駭客攻擊所帶來的資安危機。
物聯網商機大,資安問題成隱憂!
物聯網已經成為近年全球科技產業發展重點領域,根據資策會預估註1,2020年全球物聯網商機將達現今網路產值的30倍,產業附加總值達1.9兆美元。然而,在企業對於物聯網發展具有高度期待的同時,根據IDC 2016年的調查註2,安全與隱私卻成為企業最重要的一項挑戰。
趨勢科技全球消費市場總技術架構師廖經賢表示,從資訊安全的觀點來看,現今的物聯網資安防護上是非常脆弱的,特別是在連網裝置端點上的安全防護更是被忽略的重點,這也讓有心人士更容易針對端點來做攻擊。以美國為例,根據趨勢科技美洲地區公共建設之網路安全報告,在受訪的企業、政府以及相關機構中,超過五成表示連網系統受攻擊的次數日趨增加,且近八成認為駭客的攻擊日趨精準且複雜,並且集中於重要的基礎設施。
進一步分析連網裝置受到攻擊的方式,約有七成曾受過網路釣魚(Phishing)、五成受過漏洞攻擊(Unpatched vulnerabilities)、四成則受過分散式阻斷服務攻擊 (DDoS),目前僅有一成的受訪者表示有充足的信心面對連網裝置的攻擊,可見物聯網的資安問題將成為一大隱憂。另外,勒索病毒 Ransomware攻擊對物聯網的威脅,是令人擔憂的新犯罪趨勢。
車聯網發展漸趨成熟,趨勢首度公布資安防護軟體開發套件
在物聯網所架構的智慧城市範疇中,車聯網的發展是目前最具發展前景的項目之一。根據Chetan Sharma的資料註3,全美國2016年第一季車聯網的應用,占所有新增行動網路使用量的三成二,超越佔三成一市佔率的行動通訊。因此,車聯網的資安問題更是不容忽視。今年七月的台灣駭客年會HITCON便揭露了使用手機App控制Gogoro的資安風險,美國休士頓也傳出駭客利用筆電偷車的事件註4。針對物聯網及車聯網相關資安問題,趨勢科技首度公布資安防護軟體開發套件,此套件主要提供兩大功能,第一是主動偵測資安威脅,進行資安風險評估;第二則是提供端點自體系統保護,於裝置受攻擊時進行系統保護與系統強化。只需將此套件部署於設備端,就會啟動連接趨勢科技的Smart Protection Network™,運用雲端機器學習(Machine Learning)的機制監控異常況狀,其高效率的核心與多層次的解決方案,可廣泛支援各種物聯網平台,提供最即時與最佳的保護。 繼續閱讀
