車聯網來襲,你的網路安全嗎?

October 06th, 2020 ‧ 8 min read

北德州大學的研究人員在今年9月24日宣布[註1],將利用美國國家科學基金會(National Science Foundation)提供的100萬美元,建立美國第一個允許自駕車彼此共享數據的框架,該框架會標準化自駕車之間的數據,是達到自駕車「合作感知」的重要基礎建設。

 

不同廠牌的自駕車使用不同的感測器及自駕軟體,所以本就難以實現車對車的直接數據共享。而車聯網(V2X)則是要透過如上述框架的雲端服務解決不同車輛之間數據共享的問題,使行車資訊及道路資訊得以彼此傳遞,以達到「合作感知」,使上路的自駕車更加安全。然而,車輛之間的數據標準化雖然可以實現「合作感知」,成就V2X帶來更安全的行車體驗,但同時也在不同廠牌的自駕車之間設立了共同的網路安全突破口。

 

V2X的網路安全議題,不論是在汽車產業、學術研究機構或是各國政府,皆已討論多年。從產業觀之[註2],特斯拉在2014年啟動漏洞獎勵計畫(Bug bounty program),並在2019年提高了該計畫的獎金到15,000美元,更在同一年將Model 3送入Pwn2Own駭客競賽,以求透過群眾力量加強自家產品的網路安全防護。再從專利(Chart 1)及非專利文獻(Chart 2)的統計數據來看,V2X網路安全相關的專利申請量及技術/學術文獻的發佈量從2014年開始高速成長,可見產業及學研在其中日亦漸增的資源投入。而從相關標準及法規的角度,今年5月完成投票[註3]的國際標準ISO/SAE 21434,以及今年6月公佈且將在明年1月上路[註4]的WP.29 CSMS (Cybersecurity Management System)及SUMS(Software Update Management System),也表現出各國對車輛網路安全的重視。

 

回到現實生活中,當你使用具有V2X功能的車輛時,它可能記錄並向雲端發送你的位置、個人資訊、娛樂偏好,甚至在你的手機與車輛同步後,你手機中所儲存的聯絡人、財務資訊等也都可能透過雲端服務而洩漏。每個與車輛的連線都增加了駭客發現漏洞並通過遠程訪問竊取數據的機會,更甚者還能藉此漏洞執行遠程攻擊以控制車輛本身的功能,如:座椅、冷暖氣、方向盤的轉動、煞車油門、引擎的運作等。由此可見,車輛網路安全的重要性不僅僅限於車輛本身,在行駛過程中與車輛相連線的每個環境基礎建設,都將成為網路安全的防衛重地,而在「合作感知」過程扮演大腦角色的雲端服務,則是坐陣其中的網安大將。

 

綜上述,V2X網路安全的重要性不容小覷。筆者認為,而不論是環境基礎建設還是雲端服務的提供者,在實現數據共享之餘,也應同時著重網路安全防護的軟硬體研發。除此之外,如何讓商品/服務向國際標準及法規(ISO/SAE 21434及WP.29 CSMS、SUMS)靠攏,亦是現下V2X業者攻佔市場刻不容緩的議題。

V2X Cybersecurity Patent Application(US, EP, WO)

V2X Literature Publication


參考資料:

1. Researchers propose industry standard ‘cyber infrastructure’ for autonomous vehicles

https://statescoop.com/researchers-propose-industry-standard-cyber-infrastructure-for-autonomous-vehicles/

2. Tesla is giving a Model 3 away to a hacker who can crack it

https://electrek.co/2019/01/14/tesla-model-3-giveaway-hacker/

3. ISO/SAE 21434

https://www.iso.org/standard/70918.html

4. UN Regulations on Cybersecurity and Software Updates to pave the way for mass roll out of ‎connected vehicles

https://www.unece.org/info/media/presscurrent-press-h/transport/2020/un-regulations-on-cybersecurity-and-software-updates-to-pave-the-way-for-mass-roll-out-of-connected-vehicles/doc.html

劉 宙燊
劉 宙燊

發布留言

發佈留言必須填寫的 Email 地址不會公開。