趋势科技预警：汽车骇客锁定车用公版系统伺机埋入恶意程式，台湾汽车供应链业者需留心最新消息

趋势科技全球核心技术部未来车研究群分析过去30起汽车骇侵事件的攻击手法，归纳出14类、97种攻击手法，整理出“MITRE ATT&CK Matrix for Automotive”（车用MITRE攻击地图），预计明年将向MITRE提案。

图片来源:

趋势科技

为了因应环境永续以及减少碳排放、降低空污的目标，预计到2030年，电动车和油电混合车会是主流；但到2040年，全部将成为电动车的市场。随着大电动车时代的来临，只要使用的人多，自然就是骇客锁定研究和攻击的标的。

趋势科技全球核心技术部未来车研究群资深技术协理张裕敏日前在一场研讨会中表示，未来电动车形同是装着四个轮子的电脑，他分析过去几年、至少30起以上骇客入侵电动车的各种攻击手法发现，骇客最喜欢采用入侵汽车的手法就是“让汽车失控”（Loss of Control）。

若从汽车骇客（Car Hacking）的观点来看，张裕敏认为，骇客最终就是要设法取得汽车的控制权，但因为目前汽车厂牌和操作系统多，透过锁定特定车种再设法直接入侵汽车的方式，不仅旷日废时，变现成效也差。

因此，张裕敏表示，最近半年来，有越来越多的许多汽车骇客发现，汽车供应链周边厂商资安防护脆弱，便有许多汽车骇客积极锁定车用公版系统、伺机将后门程式迈入车用公版系统源代码，这也成为近期常见的汽车骇侵攻击手法。他说：“全世界有95％车用零组件供应链都在台湾，为了避免汽车骇客入侵，台湾车用零组件供应链业者都应该提高警觉。”

此外，因为现在各种汽车厂牌使用的车用操作系统以及车用电脑大不相同，张裕敏指出，该公司也采用MITRE Att&Ck的攻击手法分类，归纳出14类、97个入侵汽车的攻击手法，汇整成“MITRE ATT&CK Matrix for Automotive”（车用MITRE攻击地图），预计明年将向MITRE提案。

电动车骇侵事件，囊括BMW、克莱斯勒、奔驰和特斯拉等大厂

因应环保和便利，燃油车转向电动车已经是一种趋势，但随着汽车连网比例逐渐增加，使用各种云端服务也越来越多，汽车面临的资安风险也随之而来；而电动车只要加上自动驾驶的车用电脑，就成为一台自驾车，张裕敏说，近期发现，开始有许多美国毕业生不打算考汽车驾照，改开自驾车、交由汽车自动驾驶。

除了自动驾驶、上下班自动接送外，自驾车一旦行驶到马路上，彼此之间就会自动测距、保持安全距离，自驾车之间也会彼此闲聊、打招呼。他说，如此人性化的自驾车除了必须要能连网外，也需要更多的感应器、车用小电脑和各种云端服务配合，这也成为汽车骇客锁定攻击的标的。

趋势科技未来车研究群汇整分析从2015年开始，超过30起骇客入侵电动车的资安事件，影响的汽车品牌从BMW、克莱斯勒Jeep、Lexus、奔驰汽车、三菱汽车、Nissan、Tesla（特斯拉）到Volkswagen等；受骇范围包括汽车App、Passive Keyless Entry System、AfterMarket IVI，以及其他供应商业者等。

张裕敏指出，从过去爆发汽车骇客入侵的多起案例发现，各家电动车遭骇的手法，大多是从连网系统、远端攻击、无线通讯网络的蓝牙系统或是雷达感应刹车胎压系统等开始入侵，但对车厂或是车主而言，因为攻击者和受骇者的资讯不对等，要能够有效防御有其难度。

归纳出14类、97个汽车骇客攻击技巧，汇整出车用MITRE攻击地图

他认为，之所以要分析汽车遭骇事件的攻击手法，就是要从新闻报导的蛛丝马迹中，了解骇客攻击的技术细节与战术，进一步找出可重复使用与检视的攻击技巧方块，再借此分析并检视骇客使用的攻击TTP，并找出可以有效防御的工具，以及可以暂时转移风险的方法，争取修补该电动车漏洞的的时间。

“因为攻击资讯不精确、不一致，车厂和车主也不知道该如何防护汽车骇客入侵，汽车产业需要一个更好的工具来做资安协防。”张裕敏说，因此，仿效MITRE ATT&CK的攻击地图，归纳出骇客最常使用的14类、97个攻击技巧，汇整成“MITRE ATT&CK Matrix for Automotive”（车用MITRE攻击地图），就可以从俯视的角度了解汽车骇客的攻击流程，也知道该从哪个环节做防御。“这个“MITRE ATT&CK Matrix for Automotive”预计明年会向MITRE提案。”他说。

根据统计，超过二成（21.3％）的汽车骇客，最喜欢从“Impact”类的攻击方式入侵；其次是环境操控（Manipulate Environment）和影响车用系统（Affect Vehicle Function），各占14％；第四名是凭证存取（Credential Access），占12.7％，第五名是初始存取（Initial Access），占12％。

张裕敏坦言，若是统计过去30起汽车骇侵事件发现，骇客最重要的目的就是占领车子，最常见的气巧就是让车子失控（Loss of Control），其次是修正系统影像（Modify System Image），第三是操控Can Bus Message系统，以及监听网络封包（Network Sniffing）。

骇客锁定台湾车用供应链业者，伺机将恶意程式植入车用公版系统源代码中

不过，车子品牌太多，车用操作系统也有十几种，常用的是：QNX、AGL跟Android automotive等三种车用操作系统；加上，一台电动车内部动辄50个～100个车用控制单元（Electronic Control Unit，ECU），假设一台车有15个骇客可以攻击的入侵点，但骇客要钻研一个攻击技术往往旷日废时，对于希望可以快速变现、追求利润的骇客往往缓不济急的情况下，慢慢找漏洞真的太慢了，“汽车骇客也学会超前部署。”张裕敏说道。

他进一步解释，“找漏洞不如埋后门”的情况下，骇客近期也开始透过长期布局，锁定车用零组件周边厂商的供应链，试图从资安防护最弱的环节入侵，攻击供应链厂商内部或研发单位内部，将车用恶意程式埋进车用公版系统的源代码中，直到车商将公版系统部署到汽车后，骇客就可以透过固件更新启动恶意程式、伺机而动。

张裕敏也提出预警，95％车用零组件业者都在台湾，最近半年，骇客倾向锁定车厂供应链业者的网站电邮寄发鱼叉式钓鱼邮件，或者是透过攻击供应链厂商的网站、进到工厂或研发单位内部电脑，再设法把恶意的木马程式放到一些常用公版系统的源代码中，等到，原本公版系统的程式被车厂使用后，骇客就可以伺机启动恶意蹭。趁机勒索车厂和车主。他提醒，相关车厂供应链业者，都应该升级资安防护等级。

从法规遵循和V-SOC两个面向，确保汽车安全性

为了提升车用资讯安全，张裕敏表示，可以从法规遵循和V-SOC两个面向来看。

他表示，原有的国际标准并没有涵盖车子新面对的网络安全议题，所以，国际标准组织便针对车用网络安全，提出ISO/SAE 21434汽车网络安全国际标准，法规内容分成15各章节加上附录，是从风险评估的面向，来辨识各种对汽车造成的关键威胁以及如何减轻威胁的方法。

他说，该标准主要是使用基于V形图（V-diagram）的流程来管理相关的实施办法，同时定义了从车子设计到退役，整个车辆生命周期必须遵循的流程。未来汽车供应链业者都可以参考该标准，作为车子的软硬件，从设计、开发、部署、执行、完工到后续稽核的网络安全参考指南。

另外一个重要的法规参考依据就是WP.29公布的管理法规。张裕敏表示，成立于1952年的“世界车辆法规协调论坛”是联合国欧洲经济委员会可持续交通系统部门的工作组，也称为“WP.29”，分别在1958年、1997年以及1998年制定三份有关车辆生产、核可技术规范，以及定期技术检测的多边协定，车厂都必须在这三份协定的框架下开发工作。

其中，WP.29于1998年在日内瓦制定《全球性汽车技术法规协定书》（简称为《1998年协定书》），

是针对汽车安全管理弱点以及安全问题遵循的协议书，有其法律位阶，各国也必须在各自法律上那同样架构，这一份规则让各国都必须在这个法律框架下，共同制定或修订全球统一的汽车技术法规程序和规则，若不遵照相关规则，该台汽车则无法上市。

其中，《1998年协定书》附录五列出车子网络安全威胁有关的说明，也整理相关资安威胁与风险转移的措施；趋势科技也法法规和课课攻击技术做对应，不管骇客使用无线网络攻击、Keyless攻击等，会在“MITRE ATT&CK Matrix for Automotive”（车用MITRE攻击地图）把骇客攻击技术边后，“找到97种汽车骇客入侵技术，就可以找到相对应的法规、修补或风险规避方式，确保汽车的安全合规。”他说。

另外，张裕敏认为，汽车产业应该要思考打造一个V-SOC做资安情资分享和联防，车厂应该要自问“对车子掌握度多高？”“车子遭骇时，车厂能否即时知道？”“面对汽车骇侵事件，车厂有无能力做数位鉴识？”

加上，未来汽车都将朝向电动车和自驾车发展，需要相关的基础建设和营运，不管是充电桩、云端服务、车用软件OTA（Over The Air）更新服务和网络通讯等，都可能是骇客攻击的目标，V-SOC是否可以收到相关攻击，甚至于，即时下指令让汽车切换频率、频道，有效规避相关安全风险呢？甚至于，为了提高汽车安全性，避免许多元件故障造成汽车抛锚、必须进场维修的困境，V-SOC能否收集并监控汽车元件的损耗资讯，在故障前，发讯息通知车主、及早进场维修更换呢？他认为，未来V-SOC将会是保持电动车安全的重要关键。