《科技》VicOne車用資安報告 汽車供應鏈最危險

報告內容顯示，今年上半年網路攻擊所造成的損失金額已突破110億美元，相較於前兩年，可謂史無前例地暴增。仔細研究之後就會發現，這些網路攻擊絕大多數都是瞄準了汽車供應商，顯示此一趨勢正在崛起。令人擔憂的是，這些攻擊超過90％並非針對車廠本身，而是供應鏈中的其他廠商，因爲駭客常常發現資安嚴密的公司較不容易滲透，因此轉而瞄準警覺性較低公司。一旦供應鏈被中斷，車廠同樣亦受到衝擊，所以防範網路攻擊的工作已經不再只是保護好單一企業就行，而是要強化整個供應鏈。

此外，業界因網路攻擊(如勒索病毒)以及外泄資料或個人身分識別資訊(PII)曝光所蒙受的損失正在成長，同樣成長的還有系統停機所帶來的成本。VicOne 2023年汽車網路威脅情勢報告的統計僅納入技術和營運相關的有形成本，不包含品牌、公關、銷售及行銷費用等無形成本。

該報告列出幾個可能導致汽車資料外泄的重要漏洞，並在表格中列出這些常見的弱點列表(CWE)漏洞。越界寫入(OOBW)、越界讀取(OOBR)、緩衝區溢位、用後釋放和不當的輸入驗證漏洞是VicOne記錄到最常見的一些問題。而大多數問題是在晶片組或系統單晶片(SoC)上發現，其次是第三方管理應用程式以及車載資訊娛樂(IVI)系統。第三方供應商，包括物流、服務供應商，以及參與車輛元件、配件或零件生產的公司，已日益成爲攻擊的焦點。

儘管目前的法規在關於汽車數據方面的規範仍存在着真空地帶，但VicOne報告指出UN R155規範將從2024年7月開始對新生產的車輛要求符合安全條件。