連網汽車面臨一連串不斷增加和不斷發展的網路威脅。我們的研究報告提供連網汽車可能面臨風險的深入探討。
科技加快了汽車所能帶來機動性和便利性的腳步。如今,連網汽車讓使用者即時取得導航和交通資料、播放所需的媒體內容、取得最新天氣狀況和碰撞警報等功能已經很常見。這要歸功於車聯萬物(V2X)通訊等連網技術及各種網際網路所驅動的應用程式和服務。
連網汽車變得越來越普遍。根據一項預測,到2020年結束前,全球將會有1.52億輛的連網汽車,而根據另一項預測,10年後連網汽車數量將達到7億輛。據估計,到了2034年,自動駕駛汽車將佔汽車購買量的10%。
隨著越來越多人在安全性、可存取性和資訊娛樂方面依賴連網汽車技術,加上連網汽車每天產生多達30TB的資料,保護連網汽車抵禦各種不斷變化的風險和威脅變得十分重要。
趨勢科技的報告「將安全性引入連網汽車:威脅模型和建議」研究了連網汽車的網路安全盲區,幫助開發商和製造商製造安全及智慧的汽車。
【2019年4月2日台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天宣布與全球數位策略與技術工程公司 Luxoft Holding, Inc (NYSE:LXFT) 策略聯盟。雙方將合作推出並部署一套包含Intrusion Detection System (IDS) 及 Intrusion Prevention Systems (IPS) 以專門保護連網汽車並偵測、防範及回應相關網路攻擊的入侵偵測與防護系統。
汽車產業正經歷快速變遷,事實上,根據 Gartner 估計,全球到了 2025 年將有超過 11 億輛消費型與商用連網汽車上路註一。連網汽車與行動服務將帶來龐大的全新商機,但隨著無所不在的連線與隨選服務的時代來臨,車廠將面臨全新的網路資安威脅。根據趨勢科技的資料,網路犯罪集團攻擊連網裝置的情況日益普遍,連網汽車亦無法倖免。
趨勢科技 IoT 資安執行副總裁 Akihiko Omikawa 表示:「我們很高興能與 Luxoft 合作,共同解決連網汽車日益艱難的資安挑戰。不論何種連網汽車皆必須一開始就具備安全防護,這套解決方案可讓汽車製造廠建立必要的防護以攔截網路資安威脅。結合 Luxoft 在汽車領域的專業能力與趨勢科技領先的網路資安技術,就能解決車內數位化系統所面臨的全新挑戰。」
繼續閱讀歡迎來到資安新聞週報,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
《中文媒體》
如何讓Windows 10停止監視你?(T客邦)
Windows 10內建了新的個人化廣告的設定,文中提出四個步驟,讓你可以掌握自己的隱私權要不要「被出賣」。
【延伸閱讀】假免費 Windows 10 更新通知信暗藏勒索軟體
Windows 10 的新瀏覽器Microsoft Edge:有改進但也有新風險
中國網路犯罪地下市場,掀起一波行動勒索軟體風潮(趨勢科技資安部落格)
中國網路犯罪地下市場因少數中國網路駭客而掀起一波行動勒索軟體風潮,他們都是以同一套廣為流傳的惡意程式原始碼為基礎。而網路犯罪地下市場的運作模式更助長了這類威脅的大量繁衍。這一波威脅幕後的駭客都非常年輕 (16 至 21 歲),但他們卻能輕易製作出 1,000 個以上的 Android 勒索軟體變種,這些都是趨勢科技所偵測到的 ANDROIDOS_JIANMO.HAT
【延伸閱讀】中國免費App,充斥山寨行騙,附贈間諜軟體,廣告軟體及付費簡訊
:每兩個網路銀行 App 程式就有一個是惡意或假冒的程式
汽車駭客威脅 趨勢提3招應對(聯合財經)
趨勢科
技全球支援與研發中心Trend Lasbs一項研究,揭露Skoda汽車所使用的SmartGate系統,在安全上的漏洞,恐遭受汽車駭客攻擊,造成車主安全上的疑慮;研究並進一步提出變更無線網路發射功率、變更無線網路密碼和變更Wi-Fi D
irect PIN碼,以及變更無線網路名稱等三項防護建議。
Fiat Chrysler召回近8000輛Jeep休旅車修補軟體漏洞!( IT home)
今年7月研究人員展示如何入侵Fiat Chrysler所開發的Uconnect車載資訊娛樂系統,從遠端操控汽車的空調、音響、雨刷及剎車,幾天後Fiat Chrysler即宣布史上頭一遭因軟體漏洞而召回汽車的活動。這已是Fiat Chrysler近兩個月內第二次因為類似原因召回汽車。
【延伸閱讀】陌生人遠端接管你的車子,但你仍在駕駛座上 !! 談汽車聯網安全
【資安大會焦點直擊】韓國KrCERT如何重金打造全球最大網安危機處理中心(IT Home)
韓國長期面對北韓的威脅,韓國電腦網路暨危機處理協調中心(KrCERT/CC)副研究員朴文範(Park Moonbeom)來台分享了KrCERT/CC如何確保民眾和中小企業在網路世界的安全。早在十多年前韓國民眾或企業便可直播24小時服務的188資安服務電話專線,協助解決資安問題。
【延伸閱讀】趨勢科技「白帽菁英養成計劃」 率先響應政府資安人才培育政策 多元投注資源培育台灣資安人才
網購風險86小舖居冠 牢記防騙三「不」曲(卡優新聞網) 繼續閱讀
車輛遭到駭客操控,再也不是科幻小說的情節,而是真實可能發生的事。而且,這問題若沒解決,我們的未來很可能岌岌可危。
資安研究人員 Chris Valasek 和 Charlie Miller 在一項委託實驗中發現,他們只要經由簡單的3G網路連線就能駭入一台 Cherokee Jeep 的車內資訊娛樂系統。由於 Chrysler 用來讓車輛上網並操控車內娛樂導航系統的 Uconnect 軟體含有一個漏洞,因此兩位研究人員才能取得一些車輛關鍵功能的權限,進而從遠端遙控車輛。這項實驗的最後,Valasek 和 Miller 從遠端操控車輛讓引擎熄火並猛踩煞車,使得車輛開進高速公路邊坡的排水渠,而廠商也因此召回140萬輛車進廠維修。
這並非第一次發生車輛遭駭的事件。今年稍早,德國資安專家 Dieter Spaar 在 BMW 的 ConnectedDrive 系統當中發現一個可讓駭客遠端遙控車輛中控鎖的漏洞。此外,研究人員還可即時追蹤車輛的定位和車速,並且讀取經由 BMW Online 功能收發的電子郵件。雖然此問題很快就獲得解決,但大家都知道,任何市面上的軟體都可能存在著某些尚未發掘的漏洞,而這些漏洞浮上檯面只是遲早的問題。 繼續閱讀
你的車正在資料大放送?
汽車駭客將會是一般大眾所必須面對的真實威脅。沒有什麼比陌生人接管你的車子,而你還正在駕駛它更具侵入性和危險性了。七月Valasek和Miller利用Jeep Cherokee資訊娛樂系統的3G連線能力進行數位劫持汽車表演,說明了這種情形對生命會造成多大的危險。該臭蟲出現也導致140萬輛汽車被召回。類似的駭客行為(這次沒有真的在路上)也在幾天後展示,這次是透過數位聲音廣播(DAB)的無線訊號。
這類新聞並非汽車安全第一次被放在聚光燈下,在2015年初,德國安全專家Dieter Spaar發現了BMW ConnectedDrive的漏洞。我們一直在監視和研究此安全領域,還有(汽車的安全性:聯網汽車快速上路)。
高能見度可能意味著高危險
我們現在正在研究SmartGate系統,這是Skoda汽車首先在其Fabia III汽車推出的系統,讓車主可以用智慧型手機連接汽車去讀取和顯示數據,像是你的車速有多快、平均耗油量多少、下次該換機油或保養的時間等等。Skoda汽車是捷克的汽車製造商,為大眾汽車集團的子公司之一。
圖1、Skoda SmartGate遠端連線螢幕示範
我們使用預設無線網路設定的研究發現,攻擊者可以讀取二十多個以上的參數,甚至可以讓車主無法使用SmartGate系統。攻擊者所需要的就是待在SmartGate車載無線網路的範圍內(預設情況下有相當遠),確認汽車的無線網路然後破解密碼(防護非常弱)。有趣的是,待在無線網路覆蓋範圍內並不那麼困難,因為當攻擊者尾隨在汽車後遠達五十英尺還是在範圍之內。如果攻擊者使用高增益天線會讓無線網路的覆蓋範圍變得更大。如此做之後,攻擊者可以讀取所有的汽車數據。
根據我們的真實測試,我們甚至可以開車跟在目標車輛後面來侵入無線網路。兩台車都以大約每小時30到40公里的速度前進。而且一直到時速120公里都還可以讀取數據,因為安全理由,所以沒有繼續嘗試更高的速度。 繼續閱讀
