電動車、無人車以及車聯網技術,將顛覆百年的傳統汽車產業,不過一旦遭駭客入侵,將成為所有車主的惡夢。去年(2018)就有一個駭客組織發現特斯拉(Tesla) Model S 遙控鑰匙的漏洞,只需要花 600 美元購買無線電和運算設備,2 秒鐘就能破解車子的安全系統,將車門打開輕鬆竊取車子。
根據諮詢公司Harbor Research數據,到了2020年全球將會有220億個聯網裝置,整體產值將突破1兆美元。一年一度的世界駭客大賽 Pwn2Own,從2018年開始非常關注物聯網資安議題,今年首度加入汽車廠商參與,參賽者只要能破解車輛系統,就能獲得一台Model 3。
車子更聰明,卻也更危險了
在數位科技的參與下,衍伸出智慧醫學、智慧電網、智慧交通、智慧家庭、智慧農業等產業新方向,因此誕生許多新攻擊,中華資安國際董事長陳振楠,今(21日)出席國際創新創業論壇時表示,這就是新商業模式下,物聯網技術所必須面對的新挑戰。
過去企業面對資安攻擊,往往都是透過軟體更新的方式修補漏洞,陳振楠認為在新的聯網時代下,在設計產品時,就把隱私、安全設計及所有威脅風險一併考量進去,「安全沒有一個明確的目標 ,這是一個ongoing的過程。」他說。
除了以生產電動車聞名,特斯拉從2012年起,就將無線軟體更新的概念導入汽車中,讓車子可以直接聯網下載更新軟體,開創聯網汽車的新概念,卻也讓汽車更容易暴露在駭客攻擊下,除了僱用許多頂尖的工程師,持續為車輛系統升級,像是先前特斯拉就升級防盜功能,必須解開車內螢幕的PIN碼才能將車開走,防範駭客偷車賊。從2014年開始也推出抓漏獎勵計畫,只要找出車輛系統的資安漏洞,就能獲得1萬5000美元的獎賞,至今特斯拉已發出數十萬美元的獎金。
駭客大賽Pwn2Own,首度納入汽車類別
一年一度,由趨勢科技 (Trend Micro) 的 ZDI (Zero Day Initiative) 舉辦的駭客大賽 Pwn2Own,過去就一直非常關注物聯網資安議題,今年將在三月於溫哥華登場的競賽,內容包括網路瀏覽器、虛擬化軟體、企業應用程式,伺服器軟體,特別的是,今年還首次加入全新的汽車類別。
汽車類別加入參賽,代表連網裝置新時代又跨出新的一步,只要參賽者能破解車輛系統,就能獲得一輛Model 3,希望替汽車資安找出更多解方,特斯拉車用軟體副總裁 David Lau 表示:「自從在 2014 年推出第一個納入聯網消費性車款的漏洞懸賞計畫以來,我們便持續加碼投資並與資安研究人員攜手確保所有特斯拉車主都能不斷受惠於這些頂尖專家的研究。」
趨勢科技資深漏洞研究總監 Brian Gorenc則認為,隨著技術的演變,過去幾年競賽的攻擊目標和類別已增加不少,「希望能將研究引導至企業及消費者日益面臨的嚴重問題。今年,我們也和科技界一些大品牌合作,加碼投資這塊領域,持續推動相關的漏洞研究。」
