受到環保意識抬頭,以及電動車逐漸普及等影響,全球各國朝向淨零碳排理念經營,同時透過諸多獎勵措施推動電動車普及,甚至根據我國行政院訂定之「2050淨零轉型 運具電動化及無碳化」關鍵戰略目標,更是明定到了2030年,台灣市區公車與政府派遣之公務車輛也將全面改為電動化,走向電動車車隊管理模式。然而,電動車伴隨著高科技的自動駕駛技術開發,還有車聯網技術普及,如今即便是內燃機 (ICE) 車輛也普遍搭載汽車聯網功能,或是ADAS的先進駕駛輔助系統,「汽車資訊安全」或「汽車網路安全」概念也就顯得愈發重要。否則一不小心,一個紅燈的時間甚至是前往得來速的瞬間,你、妳的愛車可能就被對方攻擊,進而掌控。
考量車聯網車輛相比傳統汽車更容易受到網路攻擊,聯合國於2020年宣布制定UN R155、UN R156等兩項規範,前者要求製造商應從設計、製造到供應鏈都建立網路安全系統,後者則針對OTA軟體更新系統,以防車輛遭到不肖駭客入侵,且規範於2021年開始生效。後續生產車輛都必須符合相關安全規範,才能在歐盟或是其他會員國銷售,最廣為人知的案例,即是Porsche原訂於2024年推出新世代的燃油Macan與純電Macan,但由於燃油版資安不符規定,最終面臨停售命運。
為此,長期在車用資安領域耕耘的VicOne提到,其實台灣近年已經將UN R155、UN R156理念導入台灣,交通部也宣布了將於2028年起分階段實施。換而言之,未來即便是國產車廠商,也必須把車輛資訊安全、網路安全的概念融入造車當中,從汽車硬體,到車輛搭載之Operating System或是生產供應鏈,都需要符合相關規定。而且,車輛網路資訊安全的概念其實不止於四輪車輛,近年即便是二輪、三輪機車也有導入車聯網,更別提未來的自動駕駛車輛。
VicOne AMEA資深業務協理陸振翔表示,車聯網功能之所以暗藏風險,是因為駕駛、乘車者在使用車載系統或資訊娛樂系統期間,會需要登入個人資訊,甚至某部分車機軟體,還需要登入第三方帳戶的帳號密碼 (如Google帳號),當車輛遭到外界入侵,這些資料就可能外洩。VicOne資深產品經理鄭仙羚指出,或許諸多使用者認為洩露的資料並不重要,但是駭客藉由資安漏洞方式,掌握車內成為對話、影像,從而了解被窺視者之政治立場、興趣甚至是出發跟抵達目的地,除了可以預見的人身安全外,相關資料還可能被賣到暗網上,被詐騙集團取得不當使用。
鄭仙羚舉例,資安攻擊事件防不勝防,過去在國外就曾發生停等紅燈期間,一輛大貨車遭到一旁車輛癱瘓的攻擊事件,甚至有車輛在購買得來速過程中,也遭到類似形式攻擊。鄭仙羚補充,這類的攻擊概念主要是透過駭客,使用WiFi攻擊目標車輛的ELD (電子紀錄裝置) 或ECU,給予車輛錯誤指令,進而讓駭客達到癱瘓車輛或是操作車輛的目的。對於愈發普及的電動車車隊而言,這類攻擊小至造成擾亂車隊運作,大至車上的貨品及敏感內容被竊,同時還會洩露車輛的位置資訊,以及有關車主、駕駛者的敏感資訊。
而且,資安攻擊不僅止於「車輛」或是「車對車」形式,隨著電動車逐漸普及,全球都增設越來越多的電動車充電站與充電樁,當使用充電設備時,需要輸入個人資料以及付款資訊,駭客就得以利用漏洞存取數據資料,進而反向使用者勒索。再者,駭客也可以使用漏洞癱瘓整個充電站,使其暫停運作,影響必須充電的電動車車隊,破壞運作效率。另外每個人難以分割的行動裝置 (如手機、平板),駭客也能夠藉由裝置上的應用程式入侵車隊管理系統,取得未授權的車輛控制權限。
但是,隨著AI技術成熟,從VicOne發佈之2025汽車網路安全報告,也能發現AI形式之車用資安攻擊事件愈發上升。對此,鄭仙羚也提到,未來利用AI技術反制這些AI攻擊勢在必行,但不僅僅在偵測漏洞期間使用AI,訓練相關模型、餵養資料期間就必須利用AI輔助。不過,另一方面而言,未來多出AI管道,亦或是低軌衛星等方式,還有更多資料公開,都讓駭客有更多方式得以發現漏洞並有機可乘,所以整體而言,未來的資安攻擊事件預估會有上升趨勢。
有鑑於市面上車型百百種,陸振翔也提到,車用資安軟體必定會逐漸普及,不過不會採「硬體開發軟體」方式進行,因為市場上的車款過於零碎、複雜,而是會透過「軟體選擇硬體」,透過一套軟體使其修改適用在各車款之上,完善未來車輛的資訊及網路安全。
延伸閱讀:
