汽車產業面臨日益增加的資安疑慮,分析師警告指出,用於更新車輛系統的空中下載(OTA)技術會提高遭受網路攻擊的脆弱性。OTA 技術透過無線方式向與網路相連的車輛提供軟體、韌體與資料更新;特斯拉自 2012 年起以 Model S 更新使這種做法逐漸普及。專家指出,除了隱私資料風險之外,還存在國家安全風險;包含挪威、丹麥與英國在內的多個國家皆表示擔憂,外國行為者可能破壞車輛控制系統,因此呼籲在該產業加強監管與介入。
澳洲策略政策研究所(Australian Strategic Policy Institute)的網路、科技與安全研究院(fellow)Jason Van der Schyff 指出,OTA 技術如今已嵌入汽車產業的大部分領域。英國斯旺西大學(Swansea University)系統安全教授 Siraj Ahmed Shaikh 告訴 CNBC,該技術因作為替代傳統召回方法的手段而更快且具成本效益,因此受到歡迎。新加坡 S. Rajaratnam 國際研究院(S. Rajaratnam School of International Studies)的資深分析師 Gabriel Lim 則將 OTA 的使用形容為「一項獨特的國家安全顧慮」。
挪威巴士公司 Ruter 指出控制系統易受攻擊
去年年底,挪威巴士公司 Ruter 對兩輛巴士進行安全測試,並在其中一輛車中識別出與 OTA 技術相關的潛在風險。該公司表示:「透過羅馬尼亞 SIM 卡,經由行動網路可存取電池與供電控制系統。因此,從理論上說,這輛巴士可被製造商停止或導致其無法運作。」測試是在中國公司宇通(Yutong)製造的巴士上進行。
英國與丹麥啟動 OTA 安全調查
在 Ruter 的調查之後,英國與丹麥啟動了各自的安全審查。英國運輸部(Department for Transport)確認正在檢視這個問題,並與該國的國家網路安全中心(National Cyber Security Centre)密切合作。Shaikh 教授強調,這項漏洞不僅限於單一製造商或單一國家,指出 OTA 的採用正擴展至海事、鐵路、航太、工業機械與機器人等領域。
美國企業研究所在 5 月報告中建議進行安全審查
在 5 月,美國企業研究所(American Enterprise Institute)發布一份報告,警告為了限制外國政府的間諜能力,必須確保汽車產業的安全。該報告指出:「為了防範外國間諜威脅,美國應考慮進行額外的安全審查,在車輛中針對特定由外國製造的硬體與軟體施加限制,並要求提高資料蒐集的揭露。」Lim 強調,必須讓實體與政府對 OTA 系統如何被應用負責,特別是那些「在我們日常所使用的技術背後安靜運作」的系統。
常見問題
挪威巴士公司 Ruter 在 OTA 技術中發現了什麼漏洞?
Ruter 發現其中一輛巴士可透過使用羅馬尼亞 SIM 卡的行動網路存取其電池與供電控制系統;這意味著該車在理論上可被製造商停止或導致其無法運作。
挪威巴士測試之後,哪些國家啟動了調查?
英國與丹麥在 Ruter 的調查結果出爐後,各自啟動了安全調查;英國的運輸部則與國家網路安全中心密切合作,以檢視該問題。
美國企業研究所在 5 月報告中建議了什麼?
該研究所建議美國考慮進行額外的安全審查,在車輛中針對特定由外國製造的硬體與軟體施加限制,並要求提高資料蒐集的揭露,以保護免受外國間諜威脅。