趨勢科技車用資安新公司VicOne公布2022車用資安報告，針對智慧鑰匙、充電設施及勒索病毒威脅提出示警並發表預測

2022-12-01

趨勢科技車用資安新公司VicOne發布最新2022車用安全研究報告，報告指出電動車產業正面臨日趨嚴重的資訊安全風險，特別是藉遠端無鑰匙進入系統 (remote keyless entry , RKE)、充電設施及車內娛樂(IVI) 等車用系統漏洞發動攻擊，將對電動車使用安全及財務造成損失。而針對車廠及供應鏈而來的勒索病毒與資料外洩威脅，亦將對電動車產業產生不可忽視的影響。

根據VicOne觀察發現，2022年CVE通用漏洞披露資料庫中，與汽車相關最為常見的三大弱點分別為：系統晶片(System-on-Chip，SoC)、作業系統核心(Kernel)和即時作業系統(Real-time operating system, RTOS)，這些值得OEM廠商與供應商注意的漏洞和弱點，可能會導致數據損壞(data corruption)、系統或程序崩潰(systems or programs crashes)、阻斷服務(DoS)與程式碼執行(code execution)，若這些弱點存在於車輛中，將嚴重影響車輛控制和安全。

回顧2022年整體汽車產業重大資安事件，最嚴重的前二名分別為「勒索病毒」與「資料外洩」，受害者橫跨開發、生產至銷售整個產業供應鏈，其中遭受勒索病毒攻擊的對象，又以供應商為大宗占67%，同時，與2021第一季相比，2022同期遭受勒索病毒攻擊的企業更增至30%，以Conti、LockBit和Hive等勒索病毒家族最為常見，他們利用已知技術侵入汽車供應鏈系統之中；而資料外洩(Data Breach)的部份則以客戶資訊為大宗，占整體外洩內容的41.7%註一。