歐盟於2023年8月31日正式發布《能效標籤法規EU 2023/1669》,新法規要求所有在歐盟市場銷售的相關產品必須貼上能效標籤,以提高能源效率資訊的透明度,促進消費者選擇更環保的產品。
近日,資安研究人員Sam Curry與研究夥伴Shubham Shah公開揭露了他們於2024年11月,在Subaru車載資訊娛樂系統(IVI)基礎架構中發現的一項漏洞。此漏洞已於公開同時通報Subaru,並在當月獲得修復。問題源自管理系統,該系統擁有存取客戶資料、車輛控制與歷史紀錄等完整存取權限。由於該系統開放存取,卻缺乏身份驗證機制,導致從客戶資料到遠端解鎖車輛等敏感功能皆暴露於風險之中。本文將探討此漏洞的本質、發現過程與成因,以及其對當今高度聯網車輛帶來的啟示。
趕搭遠端管理浪潮
汽車製造商(OEM)正積極整合與導入遠端管理功能,讓車主能透過應用程式(App)或網頁儀表板隨時隨地與車輛進行互動。例如Subaru的Starlink系統即提供了遠端上鎖、解鎖、發動引擎與診斷檢查等功能。
Starlink這類系統提供了全天候的聯網能力,大幅提升車主的便利性,也為車廠帶來了實質上的益處。車廠可即時取得車輛的性能資料,能夠更有效率地管理車隊,以及部署無線空中更新(Over The Air, OTA)。然而,儘管車載系統的重要性與日俱增,系統管理的安全防護措施卻沒有跟上這股趨勢。
深入探究潛藏風險
根據Curry與Shah的研究,Subaru在敏感服務留下的漏洞,只要是經驗豐富的安全研究人員就能輕易找到。透過執行「網域模糊測試」與子網域辨識技術,研究人員輕易找到了連結至Starlink系統的管理入口。入口中的關鍵指令碼可以被公開存取,卻未實施足夠的防護措施。
其中一段指令碼允許管理員可在無需身份驗證的情況下重設密碼,唯一的要求僅是提供有效的管理員電子郵件地址,而這個資訊又能透過開源情報(Open-Source Intelligence, OSINT)方式取得。這意味著攻擊者只需要具備一點開源情報(OSINT)的技巧,就可以重置管理員的密碼,並有效地接管/竊取此帳號。
研究人員僅透過一個車牌號碼,便成功查到車主的身份、查看車輛的GPS記錄,甚至可下達解鎖車門的指令,充分彰顯了這個漏洞的嚴重性。
這些影響非常嚴重,攻擊者只需付出極小的功夫,便可以追蹤車輛位置、竊取個人資料,並操控車輛的重要功能。而且這個暴露的系統入口網站還提供了許多不應該提供公開存取的管理功能,即便只是對必要權限的有限存取也會構成安全威脅。
攻擊流程圖顯示了研究人員如何一步步取得Subaru Starlink IVI系統的完整管理員存取權限。所幸Subaru立即修補該漏洞,研究人員也證實該攻擊方式已無法重現
高度聯網時代 強化車輛安全
隨著車輛聯網變得越來越普遍而且改由軟體驅動後,車載系統的複雜度與受攻擊面也從傳統IT網路的防護延伸、擴展到車輛本身。這種聯網性會惡化風險,並使得以管理員權限遠端解鎖汽車或者存取敏感資料之類的攻擊行為變得更加嚴重。
OEM必須跳脫以往僅保護使用者應用程式的思維,嚴格檢測所有後端與管理系統入口。定期進行第三方滲透測試對於有效辨識API與網站安全漏洞至關重要。
實施「最小特權原則」並限制用戶資料傳輸至後端系統,亦有助於降低風險。結合資訊安全營運中心(SOC)與車輛網路安全營運中心(VSOC)的持續監控機制,能提升車輛整體的網路安全防禦力。透過關聯分析API安全事件與車輛數據,OEM可獲得情境化的風險可視度,更有效地進行風險評估和資源分配,以應對新興威脅。
邁向未來 資安必須從設計著手
這個案例彰顯了當車輛系統於設計初期並未將安全性一併納入考量時,便利性反而會轉化為風險,並成為車廠的威脅。應對這樣的趨勢,全球各地正積極強化相關法規與標準,以保護駕駛安全與隱私資料的安全。同時,自動駕駛與車聯網(V2X)等新興技術,也帶來了遠超過傳統IT網路或應用程式安全的新威脅。
在這個不斷變化的環境中,具有前瞻性的資安思維以及與資安專家夥伴的合作,能確保車輛聯網出行在持續創新的同時,亦不會折損安全性。車輛網路安全不能僅依賴於一次次的個別修補缺陷,被當成事後補救的附加項目;而是要從車輛完整生命週期,也就是從設計到退役都能得到防護,才是真正地守護車輛與駕駛者的安全。
(本文由VicOne車用資安研究團隊提供)