作者： 吳心予

電動車/智慧車在市場上邁向普及，車廠陸續推出更智慧化的輔助駕駛/自駕功能，加上汽車聯網、空中下載技術(OTA)更新等應用，都讓駭客有了更多攻擊汽車系統的機會。一旦汽車系統受到駭客入侵，除了可能導致車主個人資料外洩，也可能導致汽車的各項控制系統失控，嚴重影響駕駛與乘客的人身安全。國際法規也加強對汽車資安的防範，世界車輛法規協調論壇(WP.29)訂定的R155標準將在2024年強制執行，促使車用供應商高度關注ISO 21434標準，以跟上國際法規的資安要求。

車用資安是汽車安全根基

過去汽車產業將安全聚焦於功能安全，透過ISO 26262等規範確保軟體與硬體正常運作，然而現階段汽車高度暴露在資安風險下，即便軟/硬體並未故障，汽車還是可能失控。DEKRA德凱認證全球功能安全/網絡安全經理黃浩鈿(圖1)認為，現階段的汽車安全的根基，資訊安全。未來隨著智慧車輛的演變、軟體定義車輛等趨勢發展，即便汽車所有的軟/硬體都通過ISO 26262，確認可以正常且穩定運作，但若是硬體跟軟體尚未故障前，駭客就針對系統現有的漏洞，進行誤操控，例如癱瘓汽車系統，導致駕駛無法執行剎車、轉向，便會嚴重影響駕駛的人身安全。因此未來的智慧汽車即便軟硬體都能正常運作，沒有資訊安全的防護，功能安全一定會受到影響，車用供應鏈必須高度重視資安議題。

圖1　DEKRA德凱認證全球功能安全/網絡安全經理黃浩

四大車用資安風險

現階段汽車的資安風險可以歸類為四大面向，包含汽車自身的聯網與控制系統、手機控制、後端雲端服務及車廠的供應鏈管理。VicOne汽車網路威脅研究實驗室副總裁張裕敏(圖2)分析，第一個汽車資安風險來自汽車的聯網與無鑰匙功能，都可能遭遇駭客從連線過程中入侵汽車系統，或者從遠端監控、重播並偽造車鑰，便能開啟車門、控制汽車等攻擊。另一方面，駭客可能從汽車內部竊取車主的個人資訊，造成車主隱私外洩。

圖2　VicOne汽車網路威脅研究實驗室副總裁張裕敏

其次，手機與汽車的連線，或者用來控制汽車功能的App也需要防範駭客攻擊。例如手機在上網過程中遭到駭客入侵，駭客便可能透過手機控制汽車，而手機中用來控制汽車的App可能會受到駭客控制，影響汽車的開關車門、車窗、引擎及自動駕駛功能等。

第三個車用資安風險則來自後端的雲端服務，若車廠提供的App後端存在資安漏洞，駭客駭入其中，直接下指令給汽車供應商，車商就將訊息發送到客戶的汽車中，駭客就能透過雲端服務控制客戶的汽車。駭客也可能從後端竊取車主的個人資料。第四個車用資安可能的風險來自供應鏈，例如車廠供應鏈的產線/產品資料外洩，整車的資安出現漏洞，就可能導致車主的個人資料外洩等。

車用資安首重人身安全　未來可能整合資安晶片

車用資安防護的策略，須要從預先發現漏洞，以及快速解決問題兩方面切入。VicOne戰略夥伴關係副總裁蔡木本(圖3)提及，車用的資安防護優先考量人身安全。過去國際的車用規範都朝向功能安全的方向制定，而現階段可觀察到汽車資安會影響功能安全，因此法規新增了資安相關的規範。車用資安防護的優先目標，在人身安全之後，則是汽車能否正常運作，以及針對車主個人資料的保護。為了防止汽車受到駭客攻擊，VicOne透過雲端監控汽車系統，盡可能比駭客更早察覺可能的資安漏洞，若有異常的資訊連線，便能在駭客攻擊前預先修補。而如果汽車已經遭受駭客入侵，第一步是立即解決問題。VicOne採用虛擬修補(Virtual Patch)技術快速解決攻擊情況，後續再將相關的攻擊資訊提供給車廠，由車廠進一步修補資安漏洞。

圖3　VicOne戰略夥伴關係副總裁蔡木本

張裕敏表示，未來車用資安需要執行的工作將會持續增加，因此軟體的資安功能有機會發展為單一的晶片。目前市場上已經有車用的硬體安全模組(Hardware Security Module, HSM)，用來執行認證、金鑰、儲存等工作。長遠來看，未來VicOne可能視市場發展狀況，開發專屬的汽車資安晶片，針對所有的汽車網路安全需求設計。

加密封包確保OTA更新安全

另一方面，透過OTA更新的汽車功能不斷增加，但是針對OTA更新過程的資安攻擊也成為駭客的目標。因此，確保OTA更新的安全，便是維護車用資安的重要面向之一。科絡達執行長吳柏儀(圖4)分析，消費電子與智慧汽車的軟體複雜程度差異巨大。手機的程式碼約為一千萬行，Level2+的自駕軟體程式約為一億五千萬至兩億行，而Level3等級的自駕軟體程式碼則多達三億行，相較手機增加20~30倍。因此汽車OTA更新的資安防護，相較消費電子困難許多。

圖4　科絡達執行長吳柏儀

為了保障汽車OTA更新的安全，科絡達透過加密雲端與車端之間傳輸的，確保公鑰與私鑰之間都互相配對，才能解鎖更新封包，來保護資訊安全。傳輸過程則採用差分升級，升級前先比對新/舊版本的檔案，OTA更新便只會改動具有差異的部分，且科絡達將需要更新的內容壓縮20~30倍，加快汽車OTA更新整體的下載與升級時間，提高新版檔案的下載成功率，同時大幅降低車主的傳輸成本。

資安法規挑戰重重

車用供應鏈除了需要全面防護可能的資安威脅，法規方面，台灣的車用供應商也面對到不熟悉車用標準以及車用產品的供應模式轉變帶來的挑戰。黃浩鈿指出，因為R155 將在2024年成為強制要求，因此歐系車廠便要求供應商符合相關的規範。然而台灣部分的車用元件供應商原先以供應消費性電子產品為主，並不熟悉車用安全相關標準。有些台廠剛剛通過ASPICE及ISO 26262，可能尚未通過ISO 27001及TISAX，尚不熟悉汽車的V Model開發工程。即便車用供應商通過上述規範，ISO 21434是框架式的產品資安標準，對於車廠、Tier1等供應商來說還仍是很新的標準，且標準還未訂定得非常明確，導致車廠不清楚該怎麼在實務上執行。

黃浩鈿進一步說明，在產品供應方面，傳統上，車廠與供應商的互動，是供應商為車廠開發產品，產品開發的過程中，由供應商把關產品的需求、架構、代碼、測試/驗證，確保功能並能在整車系統中使用。而在車用資安標準中，V Model新增了延伸的流程，要求供應商完成產品開發後，必須監控產品在整車中的應用狀況。因為產品開始使用後，才會面臨駭客攻擊的可能性，所以供應商需要在產品售出後持續監控。

面對客戶難以銜接新興的資安標準，在安全標準的導入方面，德凱協助已通過ISO 26262與ASPICE的客戶，提供與車廠互動的經驗，結合ISO 21434要求的資安規範，進行產品安全測試，協助提升產品安全。而面對少數尚未通過ISO 26262與ASPICE的客戶，德凱則從教訓訓練著手，逐步協助客戶導入安全開發流程與設計思維，再執行後期的產品測試與評估，支援客戶跟上國際的資安標準。

從法規與軟體的角度切入車用資安，可觀察到國際的法規制定單位已經意識到資安是汽車安全行駛的根本，因此加快強制法規執行的腳步。在車廠與供應鏈方面，供應商需要為車用產品負起更大的安全責任，車廠也需要確保汽車在多元的智慧化、聯網與OTA更新的應用時，仍能確保汽車系統不受到駭客攻擊。資安軟體可以透過雲端監測連線異常、在駭客入侵系統的同時立即解決問題， 以及採用封包加密的OTA更新形式，確保駕駛的人身安全不受到資安風險侵害。

來源文章: https://www.mem.com.tw/系統漏洞不可輕忽%E3%80%80資安軟體強化車輛防駭/