电动车/智能车在市场上迈向普及，车厂陆续推出更智能化的辅助驾驶/自驾功能，加上汽车联网、空中下载技术（OTA）更新等应用，都让黑客有了更多攻击汽车系统的机会。 一旦汽车系统受到黑客入侵，除了可能导致车主个人资料外泄，也可能导致汽车的各项控制系统失控，严重影响驾驶与乘客的人身安全。 国际法规也加强对汽车资安的防范，世界车辆法规协调论坛（WP.29）修订的R155标准将在2024年强制执行，促使车用供应商高度关注ISO 21434标准，以跟上国际法规的资安要求。

车用资安是汽车安全根基

过去汽车产业将安全聚焦于功能安全，透过ISO 26262等规范确保软件与硬件正常运作，然而现阶段汽车高度暴露在资安风险下，即便软/硬件并未故障，汽车还是可能失控。 DEKRA德凯认证全球功能安全/网络安全经理黄浩钿（图1）认为，现阶段的汽车安全的根基，信息安全。 未来随着智能车辆的演变、软件定义车辆等趋势发展，即便汽车所有的软/硬件都通过ISO 26262，确认可以正常且稳定运作，但若是硬件跟软件尚未故障前，黑客就针对系统现有的漏洞，进行误操控，例如瘫痪汽车系统，导致驾驶无法执行刹车、转向，便会严重影响驾驶的人身安全。 因此未来的智能汽车即便软硬件都能正常运作，没有信息安全的防护，功能安全一定会受到影响，车用供应链必须高度重视资安议题。

图1 DEKRA德凯认证全球功能安全/网络安全经理 黄浩

四大车用资安风险

现阶段汽车的资安风险可以归类为四大面向，包含汽车自身的联网与控制系统、手机控制、后端云端服务及车厂的供应链管理。 VicOne汽车网络威胁研究实验室副总裁张裕敏（图2）分析，第一个汽车资安风险来自汽车的联网与无钥匙功能，都可能遭遇黑客从连线过程中入侵汽车系统，或者从远程监控、回放并伪造车钥，便能开启车门、控制汽车等攻击。 另一方面，黑客可能从汽车内部窃取车主的个人信息，造成车主隐私外泄。

 图2 VicOne汽车网络威胁研究实验室副总裁 张裕敏

其次，手机与汽车的连线，或者用来控制汽车功能的App也需要防范黑客攻击。 例如手机在上网过程中遭到黑客入侵，黑客便可能透过手机控制汽车，而手机中用来控制汽车的App可能会受到黑客控制，影响汽车的开关车门、车窗、引擎及自动驾驶功能等。

第三个车用资安风险则来自后端的云端服务，若车厂提供的App后端存在资安漏洞，黑客入侵其中，直接下指令给汽车供应商，车商就将讯息发送到客户的汽车中，黑客就能透过云端服务控制客户的汽车。 黑客也可能从后端窃取车主的个人资料。 第四个车用资安可能的风险来自供应链，例如车厂供应链的产线/产品数据外泄，整车的资安出现漏洞，就可能导致车主的个人资料外泄等。

车用资安首重人身安全 未来可能整合资安芯片

车用资安防护的策略，需要从预先发现漏洞，以及快速解决问题两方面切入。 VicOne战略伙伴关系副总裁蔡木本（图3）提及，车用的资安防护优先考虑人身安全。 过去国际的车用规范都朝向功能安全的方向制定，而现阶段可观察到汽车资安会影响功能安全，因此法规新增了资安相关的规范。 车用资安防护的优先目标，在人身安全之后，则是汽车能否正常运作，以及针对车主个人资料的保护。 为了防止汽车受到黑客攻击，VicOne通过云端监控汽车系统，尽可能比黑客更早察觉可能的资安漏洞，若有异常的信息连线，便能在黑客攻击前预先修补。 而如果汽车已经遭受黑客入侵，第一步是立即解决问题。 VicOne采用虚拟修补（Virtual Patch）技术快速解决攻击情况，后续再将相关的攻击信息提供给车厂，由车厂进一步修补资安漏洞。

图3 VicOne战略伙伴关系副总裁 蔡木本

张裕敏表示，未来车用资安需要执行的工作将会持续增加，因此软件的资安功能有机会发展为单一的芯片。 目前市场上已经有车用的硬件安全模块（Hardware Security Module， HSM），用来执行认证、密钥、储存等工作。 长远来看，未来VicOne可能视市场发展状况，开发专属的汽车资安芯片，针对所有的汽车网络安全需求设计。

加密数据包确保OTA更新安全

另一方面，通过OTA更新的汽车功能不断增加，但是针对OTA更新过程的资安攻击也成为黑客的目标。 因此，确保OTA更新的安全，便是维护车用资安的重要面向之一。 科络达执行官吴柏仪（图4）分析，消费电子与智能汽车的软件复杂程度差异巨大。 手机的代码约为一千万行，Level2+的自驾软件程序约为一亿五千万至两亿行，而Level3等级的自驾软件代码则多达三亿行，相较手机增加20~30倍。 因此汽车OTA更新的资安防护，相较消费电子困难许多。

图4 科络达首席执行官 吴柏仪

为了保障汽车OTA更新的安全，科络达通过加密云端与车端之间传输的，确保公钥与私钥之间都互相配对，才能解锁更新打包，来保护信息安全。 传输过程则采用差分升级，升级前先比对新/旧版本的档案，OTA更新便只会改动具有差异的部分，且科络达将需要更新的内容压缩20~30倍，加快汽车OTA更新整体的下载与升级时间，提高新版档案的下载成功率，同时大幅降低车主的传输成本。

资安法规挑战重重

车用供应链除了需要全面防护可能的资安威胁，法规方面，台湾的车用供应商也面对到不熟悉车用标准以及车用产品的供应模式转变带来的挑战。 黄浩钿指出，因为R155将在2024年成为强制要求，因此欧系车厂便要求供应商符合相关的规范。 然而台湾部分的车用组件供应商原先以供应消费性电子产品为主，并不熟悉车用安全相关标准。 有些台厂刚刚通过ASPICE及ISO 26262，可能尚未通过ISO 27001及TISAX，尚不熟悉汽车的V Model开发工程。 即便车用供应商通过上述规范，ISO 21434是框架式的产品资安标准，对于车厂、Tier1等供应商来说还仍是很新的标准，且标准还未修订得非常明确，导致车厂不清楚该怎么在实务上执行。

黄浩钿进一步说明，在产品供应方面，传统上，车厂与供应商的互动，是供应商为车厂开发产品，产品开发的过程中，由供应商把关产品的需求、架构、代码、测试/验证，确保功能并能在整车系统中使用。 而在车用资安标准中，V Model新增了延伸的流程，要求供应商完成产品开发后，必须监控产品在整车中的应用状况。 因为产品开始使用后，才会面临黑客攻击的可能性，所以供应商需要在产品售出后持续监控。

面对客户难以衔接新兴的资安标准，在安全标准的导入方面，德凯协助已通过ISO 26262与ASPICE的客户，提供与车厂互动的经验，结合ISO 21434要求的资安规范，进行产品安全测试，协助提升产品安全。 而面对少数尚未通过ISO 26262与ASPICE的客户，德凯则从教训训练着手，逐步协助客户导入安全开发流程与设计思维，再执行后期的产品测试与评估，支持客户跟随国际的信息资安标准。

从法规与软件的角度切入车用资安，可观察到国际的法规制定单位已经意识到资安是汽车安全行驶的根本，因此加快强制法规执行的脚步。 在车厂与供应链方面，供应商需要为车用产品负起更大的安全责任，车厂也需要确保汽车在多元的智能化、联网与OTA更新的应用时，仍能确保汽车系统不受到黑客攻击。 资安软件可以通过云端监测连线异常、在黑客入侵系统的同时立即解决问题，以及采用封包加密的OTA更新形式，确保驾驶的人身安全不受到信息风险侵害。

来源文章：

系統漏洞不可輕忽　資安軟體強化車輛防駭 - 新電子科技雜誌 Micro-electronics (mem.com.tw)