根據Upstream Security的一份報告顯示,2019年上半年,車輛的網路攻擊事件較去年同期增加了一倍以上,從32件提高到82件。這個數字看起來似乎不算多,但此類駭客攻擊的成長率和多樣性卻令人擔憂。

connected car, security

圖1:將智慧型手機等消費裝置連接至車輛系統就可能出現安全漏洞。(來源:Fotolia)

在這些網路攻擊中,有將近一半的事件是所謂的「接力盜車」(relay theft),即透過放大車子的遙控鑰匙(RKE)訊號來竊取車輛,有些案例還涉及駭客要求車主支付贖金。此外,18%的攻擊是駭客接管後端伺服器,在遠端追蹤並控制車輛。另外還有一種特別令人不安的攻擊是入侵GPS追蹤應用程式(App),所幸這是白帽(white-hat)駭客。在這類攻擊中,入侵者能夠看到數千輛汽車的位置,還可以發送命令開啟車門並關閉引擎。

其它攻擊手段包括透過不安全的第三方App進行的行動裝置攻擊,例如入侵車載資通訊系統以及車載診斷(OBD)埠。曾經有一家安全監控公司對特斯拉(Tesla)的OBD進行攻擊,透過藍牙診斷模組向控制器局域網路(CAN)匯流排發送大量訊息,大量錯誤訊息湧入後,最終導致前後馬達同時掛點。

攻擊威脅現況

當今的網路威脅環境呈現出多樣化和不斷成長的趨勢。NTT Security歐洲、中東與非洲(EMEA)安全業務應用首席顧問René Bader說:「如今的攻擊手段從類似於傳統IT攻擊的後端攻擊,發展到攻擊基礎架構層。在基礎架構層,駭客侵入了傳輸協議而對車輛進行空中下載(OTA)升級;或者進行車載攻擊,當然在大多數情況下,這需要實際進入車內。」

NTT Security為一線供應商(Tier one)和OEM提供攸關汽車安全的策略和技術諮詢,起初著重於保護連網汽車後端基礎架構應用的安全,近期則致力於連網汽車整體環境的安全。Bader說:「從安全的角度來看,車內攻擊最複雜,而從業務風險來看,其它攻擊手段的風險更嚴重。如果駭入一輛車子,通常只針對這一輛車,但如果駭入後端基礎架構或車隊連接網路,那麼就會對OEM或一線供應商構成相當大的威脅。」

攻擊車隊可能會造成嚴重的影響。根據研究顯示,攻擊者只需在建築物密集區(例如曼哈頓)讓20%的車輛停止行進,就可能造成交通癱瘓並引發混亂。

誰來負責?

誰來對連網汽車的安全負責?Bader說,OEM對車主負有法律責任,可是一旦發生事故時,OEM通常會要求一線供應商調查事故的根本原因。因此,問題實際上應該是:在OEM內部由誰負責提出安全功能要求?

Bader說:「OEM必須提出明確的要求,但這有點難度,因為他們必須指定OEM內由誰負責提供此功能。是安全部門?IT部門?還是工程部門?目前沒人知道。對此人們仍爭論不休,難以定奪。」

IT部門通常負責車輛本身以外的所有事務,而工程部門則負責車載通訊。隨著自動駕駛車的環境與傳統的IT架構越來越相似,這些部門未來需要共同合作,以因應安全的風險。Bader說:「但還是有很多人『各自為政』。OEM需要從業務角度出發,讓不同部門建立更穩定的交流。」

大多數的一線供應商會為其產品提供基本的安全保障,其他供應商也在朝此進行,但這可能會給OEM帶來更多問題。Bader說:「你面臨的問題是,誰來負責從某個一線供應商那裡收集所有資訊,並提供一個層疊結構,將這些資訊關聯並組合起來。但是,這種結構大致上還在建構中。」

安全標準

整個汽車產業正逐步朝著ISO 21434標準邁進。該新標準絕大部份是以SAE J3061為基礎,旨在解決汽車產業的網路安全問題,預計其最終版本將在今年年底之前發佈,目前已有草案版本供各家公司參考。

「ISO 21434的推出意味著OEM必須為連網汽車建立起網路安全架構,促使一線供應商在面對這些必須解決的安全問題時越來越成熟。」Bader說,「我們看到OEM目前推出了安全標準和要求,一線供應商必須實現並證明他們的產品符合這些標準,因為如果發生了事故,法律上是由OEM負責。」

UltraSoC策略長Aileen Ryan也認為安全要求被推到了一線供應商這一層。她說:「目前在法律上必須對汽車安全負責的是OEM,OEM也已經採取措施以確保其供應鏈至少考慮J3061。一旦21434標準底定,預計他們將會開始要求供應鏈中的所有供應商都遵循該標準。這並不是說安全責任歸屬一定會發生變化,但如果OEM認為有必要,就很可能將法律責任推到價值鏈的下游。」

Ryan認為,SoC製造商可能會發現即將發佈的ISO 21434結構與完善的汽車功能安全標準ISO 26262類似,因為它導入了網路安全完整性等級(CIL)概念,與26262中的ASIL等級類似。該標準並未規定具體的技術功能,而是提出了供應商可以採取的途徑和方法,以確保他們從一開始就考慮到潛在的威脅。

Ryan說:「如果你在汽車供應鏈中佔有一席之地,就應該考慮將網路安全植入公司文化中。OEM應該樂於見到ISO 21434中描述的各種網路安全流程以及設計和開發方法,它類似於26262,是可審核的。」

安全與防護

Ryan說,業界有一種趨勢,認為安全與防護(safety & security)相互獨立。功能安全由於ISO 26262標準而成為眾所周知的問題,但安全防護方面的進展卻沒有如此成熟,因為相應的標準仍在開發中。Ryan認為:「功能安全問題實際上只是防護問題的一部份。沒有安全防護就沒有功能安全。」現在的OEM傾向於同時「擁有負責功能安全的團隊和致力於安全防護的團隊,但這兩個團隊之間似乎還沒有足夠的溝通。」

總部位於英國的UltraSoC提供可即時監控晶片的半導體IP,協助檢測惡意攻擊等活動。Ryan說:「透過監控可以發現某些不允許發生在晶片上的情況。例如,我們可以進行監測,以確保只有晶片被允許的部份才能存取特定的記憶體區域。」一旦出現不被允許的情況,即刻發出警示。在下一代產品中,我們將能夠預防這種情況的發生。

UltraSoC, security IP

圖2:UltraSoC提供的半導體IP可即時監控晶片系統,以檢測惡意攻擊。(來源:UltraSoC)

該公司最近獲得了Innovate UK提供的200萬英鎊資助,計劃用於在晶片上整合各種智慧功能。該專案與位於英格蕳的考文垂大學(Coventry University)、網路安全諮詢公司Copper Horse和南安普敦大學(University of Southampton)合作,將利用UltraSoC的嵌入式晶片分析,以便快速且可靠地辨識安全威脅。南安普敦大學的機器學習專家將與UltraSoC共同合作,開發辨識潛在駭客的演算法。

Ryan表示:「我們的目標是開發一款晶片分析子系統,除了能夠像現在一樣觀察在該晶片上發生什麼,還可勾勒出這顆晶片正常運作狀態的情況。晶片的正常運作狀態可能會在一段時間內發生變化——或許是因為老化,也可能是車輛上不同軟體載入會改變晶片的性能和簽核。這款晶片子系統將會智慧地監控系統是否偏離正常狀態,如果發生偏離,則則分析究竟是由故障或安全問題引起或是意謂著有惡意入侵。」

產業競合

Ryan表示,汽車產業的價值鏈一直以來都相對穩定,但這個產業現在也在發生變化。對網路安全的日益關注為新創企業和中小型企業(如UltraSoC)創造了空間,而且在矽谷及全球其它地區都湧現出一些新公司,致力於解決這個問題。

Ryan認為:「汽車產業目前正處於一個極其混亂的時期,許多新進入者提供了針對汽車防護或網路安全的利基功能。」「競合」(coopertition)的概念正在興起,業界競爭對手們開始互相合作,聯手解決共同遇到的問題。「更加開放的環境正在形成,較大的公司正積極尋找對其有益的新想法,而且也開始與新創公司互動,展現不同於以往的風貌。」

(參考原文:Who Is Responsible for Securing the Connected Car?,by Sally Ward-Foxton)

本文同步刊登於電子技術設計雜誌2019年11月號