從這次公布的報告,可以看出隨著汽車產業快速邁向數位化與智能化,網路安全問題已成為不容忽視的重大挑戰。因為現今的軟體定義汽車(Software-Defined Vehicles, SDV)與自動駕駛技術的發展,都讓車輛更像是一部移動中的智慧裝置。然而,這也帶來了新的安全隱憂。Upstream公布的分析報告顯示,車輛與基礎設施的互聯性不斷增加,使攻擊面持續擴大,駭客可透過車輛遠端遙測系統(Telematics)、應用伺服器(Application Servers)及應用程式介面(API)發動攻擊。這些攻擊方式大多來自遠端執行,其中85%不需要駭客與目標車輛有任何物理接觸,顯示網路安全防護已不再只是硬體設備的問題,而是整個數位生態系統的挑戰。
回顧2024年,在全球車業發生了多起重大資安事件,顯示出許多資安漏洞。6 月時,美國主要汽車經銷商軟體供應商CDK Global遭受勒索軟體攻擊,導致15,000家汽車經銷商的營運停擺近3週,估計損失高達10.2億美元。這起事件顯示,駭客已經不只針對車輛本身,而是鎖定影響整個產業鏈的核心系統,甚至影響了汽車的銷售、金融服務與維修業務。同樣在2024年,AutoNation 因 CDK Global的駭客攻擊而導致客戶數據外洩,使汽車零售商的營運受到嚴重影響,突顯出汽車經銷商的IT系統同樣是駭客攻擊的高風險目標。
除此之外,電動車充電站也成為駭客的攻擊戰場。2024年初,駭客成功入侵EV充電站與充電營運商管理系統之間的通訊協議,遠端停止充電、安裝惡意韌體,甚至向用戶收取未授權的費用。這類攻擊顯示出EV充電基礎設施的資安漏洞,代表充電網絡在快速擴張的同時,需要更完善的安全防護。目前的EV充電站尚未完全採用加密程度夠高的網路連線,或是更完善的驗證機制,也較缺乏網路隔離,因此成為駭客眼中的目標,可能影響消費者的信心。
智慧車聯網系統方面,同樣也存有資安漏洞,2024年底時,澳洲的比亞迪電動車車主發現,車內的SIM卡可以被陌生人撥打,導致駕駛與乘客的對話可能在不知情的情況下被監聽,引發了極大的隱私與安全疑慮,也顯示出汽車通訊系統的資安缺陷。同時,Volkswagen因軟體漏洞導致80萬輛電動車的即時位置數據被曝光,使駭客能夠追蹤車輛,甚至存取駕駛者的個人資訊,如電子郵件、電話號碼與地址。這類資安事故不僅威脅到駕駛者的隱私,甚至有可能被犯罪組織利用,進一步竊取車輛,或勒索車主。
同樣在2024年,資安研究人員發現駭客可以透過Kia的網頁系統,遠端解鎖車門、啟動引擎並追蹤車輛位置。雖然該廠迅速修補了該漏洞,但這起事件突顯出車聯網系統的潛在風險。
面對這些日益嚴峻的網路安全威脅,全球汽車產業必須採取更積極的防禦措施,以確保車輛與基礎設施的安全。首先,EV充電站與智慧車載系統需要進一步強化資安防護,透過通訊協議的加密與驗證機制,防止駭客遠端操控車輛或充電站。此外,車聯網與API介面的安全檢測機制也必須提升,企業應定期進行滲透測試,以找出並修補潛在漏洞,並建立由AI驅動的威脅偵測系統,能夠即時發現並阻擋異常活動。
另一方面,汽車經銷商與供應鏈也需提升IT安全標準,導入端點安全防護,避免勒索軟體攻擊影響整個經銷網絡。與此同時,第三方供應商的資安審核機制也應更加嚴格,確保所有軟體服務供應商均符合最新的安全標準,避免成為駭客入侵的破口。
總結來說,隨著智慧車輛與車聯網技術的普及,未來的網路攻擊相信只會更加頻繁與複雜。無論汽車製造商、經銷商、EV充電站營運商或IT服務供應商,都必須共同提升資安防禦能力,才能在數位轉型的過程中確保自身與消費者的安全,才能讓營運保持穩定,並且守護全球車主與乘客。