针对智慧钥匙、充电设施及勒索病毒威胁提出示警并发表预测

VicOne发布最新2022车用安全研究报告，指出电动车产业正面临日趋严重的资讯安全风险。

趋势科技车用资安新公司VicOne发布最新2022车用安全研究报告，报告指出电动车产业正面临日趋严重的资讯安全风险，特别是藉远端无钥匙进入系统 （remote keyless entry；RKE）、充电设施及车内娱乐（IVI）等车用系统漏洞发动攻击，将对电动车使用安全及财务造成损失。而针对车厂及供应链而来的勒索病毒与资料外泄威胁，亦将对电动车产业产生不可忽视的影响。

根据VicOne观察发现，2022年CVE通用漏洞披露资料库中，与汽车相关最为常见的三大弱点分别为：系统晶片（SoC）、作业系统核心（Kernel）和即时作业系统（RTOS），这些值得OEM厂商与供应商注意的漏洞和弱点，可能会导致数据损坏、系统或程序崩溃、阻断服务与程式码执行，若这些弱点存在於车辆中，将严重影响车辆控制和安全。

回顾2022年整体汽车产业重大资安事件，最严重的前二名分别为「勒索病毒」与「资料外泄」，受害者横跨开发、生产至销售整个产业供应链，其中遭受勒索病毒攻击的对象，又以供应商为大宗占67%，2022同期遭受勒索病毒攻击的企业，以Conti、LockBit和Hive等勒索病毒家族最为常见，他们利用已知技术侵入汽车供应链系统之中；而资料外泄的部份则以客户资讯为大宗，占整体外泄内容的41.7%。

VicOne最新车用资安报告也揭示汽车业需注意的三大攻击趋势，首先骇客既有针对汽车产业供应链的攻击手法将变得更加针对性，透过垃圾邮件散播或路过式下载的方式散布勒索软体以提高获利效率。其次，资安事件所造成的营运中断将不再是企业可能面临到的最坏情况，被泄漏的客户数据将更直接的影响企业声誉。三是威胁事件影响范围不再局限於受害者本身，将扩及影响上游客户至下游供应商。

电动车充电设施、Cloud API以及远端无钥匙进入系统等高风险面向。此外，随着无线电设备取得更加容易，相关程式码编写进入门槛降低，使得远端无钥匙进入系统（RKE）更容易被骇客利用，骇客可透过重放攻击破解智慧钥匙密码，采取滚动式程式码机制可有效防止此类型攻击。