【臺灣資安大會直擊】汽車關鍵核心的ADAS系統成為駭客鎖定目標,如何避免未來自駕車遭駭而失控將是更大的挑戰
· 2024-05-15

在臺灣資安大會第二天主題演講中,趨勢科技核心技術部資深協理暨Vic One威脅研究副總裁張裕敏公開揭露了數十種鎖定汽車ADAS攻擊的三大類型,涵蓋28種攻擊樣態,更提出自動駕駛場景的防護之道。

這段描述了大規模自駕車遭駭的資安場景,雖然只是想像中的未來情景,但也反映了當自駕車遭到駭客入侵後失控可能帶來的後果,不僅會影響行車安全,甚至嚴重可能影響整個城市的安全。

身為趨勢科技資安老將,張裕敏過去在APT攻擊、駭客攻防與駭客手法趨勢研究方面很有經驗,2022年趨勢科技成立汽車資安新創Vic One,張裕敏在該公司擔任汽車網路威脅研究副總,率領團隊投入汽車領域資安研究。

儘管,目前臺灣自駕車發展仍處在等級2,也就是能夠做到車道維持、自動停車、自動跟車等功能,但是在美國,已經開放等級3的自駕車在路上行駛,可以在大部分情況下自動駕駛。張裕敏表示,最快今年底就會有等級4的汽車就會推出,明年甚至可以購買到等級4或5的車款。

他觀察到,隨著越來越多高度自動化的汽車上路,也就越容易出現交通大打結的情況。例如,舊金山去年到今年就發生了10多起因為自駕車引起的交通堵塞事件。

不光是自駕車有資安風險,隨汽車越來越依賴軟體,成為駭客鎖定的目標,汽車資安防護也成了重要的議題。尤其是汽車關鍵核心的先進輔助駕駛(ADAS)系統,需要更高的資安防護,才能降低被駭的風險。

一般而言,ADAS的重要核心元件,包括了感測器和攝影機、雷達和光學雷達,運算平臺和演算法。當駭客入侵了這些核心元件,也就可能從遠端操控汽車ADAS的功能,造成嚴重的資安危機。

鎖定汽車ADAS攻擊的三大類型

張裕敏統計歷年汽車資安事件,從2005迄今發生300多起因為駭客攻擊產生的汽車資安事件,可以進一步分析駭客攻擊手法,如何入侵車輛,達到遠端攻擊的目標。

張裕敏由此整理出了數十種鎖定汽車ADAS攻擊的三大類型,分別是運算平臺的威脅、感測器的威脅,以及演算法的威脅,總共涵蓋了28種攻擊樣態。

在ADAS的安全威脅樹狀圖中,每一個樹狀結構都代表一種攻擊。其中,感測器的威脅包括多種攻擊方式。例如,駭客可能對毫米波雷達進行干擾攻擊,對超音波雷達則可能發動干擾攻擊和欺騙攻擊。對於高畫質攝影機,可能採取致盲攻擊、光線干擾和實體阻檔等手段。而在光達的利用方面,則可能採取中繼攻擊,電池干擾、遮敝攻擊等,以及GPS和V2X系統,都可能成為攻擊的目標。

在運算平臺的威脅方面,不僅包含了IT領域常見的軟體和作業系統,還增加晶片項目,包括了偵錯埠資安、日誌存取權限、敏感性資料檢查 、私鑰管理、晶片連接服務、晶片支援服務、韌體逆向保護、晶片封裝測試、加密演算法驗證等。

在演算法的威脅方面,則以程式碼洩漏和演算法邏輯異常為主。舉例來說,演算法邏輯錯誤中,包含了多種可能錯誤造成演算法邏輯異常,例如邊界條件錯誤、狀態管理錯誤、不一致的資料處理、演算法複雜度問題、演算法存在死鎖或競爭條件,以及異常處理不當等。

對ADAS與自動動駕駛的安全防護,各國也有提出相應安全規範要求車廠落實,如美國SAE的J3016,歐洲UN/ECE 157等。

面對汽車資安的威脅,張裕敏提到一些應對措施,除了持續收集情資預作風險控管之外,車廠需要不斷加強ADAS在行車安全的提升,同時,面對網路攻擊的風險日益增加,車輛製造商必須投資強化安全措施,防範潛在的威脅,另外,對於車主來說,應該慎選車輛配件並確保其具有認證,以增加車輛的安全性。

熱門文章
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
英國確認各垂直行業的賭博稅稅率
合規與政策
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
首頁
遊戲
合作
發現
我的