報導 \ 蔡宗桓
全球環保意識逐漸抬頭,並帶動電動車逐漸普及化,但有資安專家發出警告說,具備一定連網與運算能力的電動車,正成為駭客垂涎的新目標。
根據美國《華爾街日報》(The Wall Street Jornal)的報導,這些裝有晶片和軟件的電動車,幾乎每天都需要插入充電樁充電,並通過充電網、網絡來回發送數據,同時與車輛製造商、經銷商、家庭Wi-Fi網絡、車主手機中的App等進行通訊,而這些龐大的運算與連接能力,正是駭客眼中的大好機會。
該報導也引述網絡安全專家——麥肯錫(McKinsey & Co.)公司的一位專門研究網絡安全的合伙人Benjamin Klein的說法指出,由於電動車的生態系統非常複雜,其中包括供應鏈上不同的廠商,且車輛本身也由不同的技術組合而成,因此,這正給予駭客許多潛在的下手機會。
駭客可以如何駭進電動車的系統當中?試想像一下:駭客可以把惡意軟件傳播到數千、數百萬輛電動汽車中,使這些電動車拋錨、癱瘓,直到車主支付贖金為止;駭客也可發動更為駭人的物理攻擊,即駭進充電系統,使電動車的電池超載,甚至起火燃燒,並藉此勒索車主。
當然,駭客也可劫持車輛,使其加速並發生車禍,甚或過控制充電網絡來關閉部分電網,再藉此威脅車主。
資安專家盤點出3大資安漏洞,分別是電動車本身、家用及公用的充電樁
◆漏洞一:電動車
諮詢公司Bain & Co的合伙人兼網絡安全專家Syed Ali說,一輛傳統的燃油車大約有150個電子控制單元,但現在一輛極其普通的電動車都已裝有3000個以上的晶片,並使用了數百萬行以上的程式碼,但電動汽車產業在網絡安全保護方面卻仍然處於相當不成熟的早期階段。
諮詢公司Accenture的全球網絡產業負責人Jim Guinn也認同這一說法,並舉例指出,早在2015年時,就有安全研究人員演示了駭客如何利用連網電動車的安全漏洞,從數英里之外的手提電腦入侵該電動車的電子設備,並完全控制其轉向、加速與煞車設備。
隨後,該汽車製造商便召回了140萬輛電動車,以修復該漏洞。
Guinn說,那款轎車還是標準的燃油車,而具備更強大連網與運算能力的電動車,只會為駭客提供更多的攻擊目標。
◆漏洞二:家用充電器
家用EV充電器通常會與與其製造商相互通訊,並與電力公司、Wi-Fi路由器、手機App等相互連接。研究人員說,駭客可利用這些連接點來安裝惡意軟件。
安全公司Pen Test Partners曾於2021年調查了6家美國、英國品牌的“智慧充電器”——也就是可讓車主遠端監控和管理供電的充電設備——結果在其中發現了許多漏洞,而這些漏洞可能會讓駭客劫持設備或把惡意軟件感染至設備當中。
◆漏洞三:公共充電器
公共充電器也是駭客眼中的攻擊目標。這些充電器遍布購物中心、高速公路休息站、商業園區等地方,而駭客可連接到這些公共充電器並進行入侵、感染使用充電器的電動車,並在整個充電網絡,如電動車、家用充電器等,全面傳播惡意軟件。
通過這些攻擊,電動車車主的充電帳號資訊也可能遭竊取,駭客還能通過所竊取到的資訊來達成免費充電等目的。
資安專家說,事實上,這些充電基礎設施“相對缺乏安全性”,這是因為在該產品被設計時,並未把安全性考量進去所致。
此外,根據趨勢科技車用資安公司VicOne發布的2022汽車網絡資安報告指出,其他像是無鑰匙系統、車內資訊娛樂系統(IVI)等,也都是可能遭到駭客攻擊的目標。