最近一份報告顯示，82%針對汽車行業(包括消費汽車、製造商和經銷商)的攻擊是遠端進行的。另外，一半的車輛盜竊案涉及無鑰匙。汽車製造商、經銷商和消費者在汽車網路安全方面發揮著作用。但隨著行業繼續採用互聯技術，企業採取積極主動的網路安全方法將變得越來越重要。

說到汽車網路安全威脅，網路攻擊者有無數種方法來竊取車輛和駕駛員資訊，並導致車輛的功能出現問題。

1、無鑰匙汽車盜竊

作為最突出的威脅之一，無鑰匙汽車盜竊是汽車行業的重點關注。車主只需站在車旁就能鎖上或開啟車門，甚至不需要實物鑰匙就能啟動汽車。

啟用無鑰匙啟動和無鑰匙進入的汽車容易受到中間人攻擊，這些攻擊可能會攔截汽車和遙控鑰匙本身之間的資料連線。網路攻擊者利用這些系統透過欺騙元件，繞過身份驗證協議，認為它們就在附近。從而攻擊者可以在不觸發任何警報的情況下啟動車輛。

2、電動汽車充電樁使用

隨著全球向環保技術過渡，電動汽車正變得越來越受歡迎。充電樁允許電動汽車車主在公共停車場、公園甚至自己的車庫等方便的位置為車輛充電。

當在充電樁為電動汽車充電時，資料會在汽車、充電樁和擁有該裝置的公司之間傳輸。該資料鏈提供了威脅參與者可以利用電動汽車充電站的多種方式。該資料鏈為網路攻擊者利用提供了多種方式。惡意軟體、欺詐、遠端操作，甚至破壞充電樁都是破壞基礎設施的例子。

3、資訊娛樂系統攻擊

現代汽車需要超過100億行程式碼才能執行。大部分程式碼進入車輛的韌體和軟體，允許導航、USB、CarPlay、SOS 功能等。這些資訊娛樂系統還為犯罪分子開啟了通往汽車ECU的大門，危及生命並損害車輛。

製造商需要注意許多程式碼漏洞，目前，一些企業已經開始在程式碼編寫過程中進行靜態程式碼檢測，及時發現並修復安全漏洞及程式碼缺陷。透過隨著資訊娛樂系統變得越來越複雜和精密，將有更多的漏洞被發現，程式碼檢測已成為提高應用安全不可或缺的一種方式。

4、暴力網路攻擊

影響汽車行業的另一種常見攻擊型別是老式的暴力網路攻擊。汽車行業中聯網和自動化車輛和企業面臨的許多威脅與常見的雲安全威脅相似，但這並沒有降低它們的破壞性。

暴力攻擊目標是破解憑證。在汽車行業當憑證受到損害時，整個系統很容易成為複雜攻擊的目標，最終可能導致韌體故障、大規模資料洩漏和車輛盜竊。

5、網路釣魚攻擊

網路攻擊者還會透過網路釣魚等社會工程攻擊來獲取憑據，從而進入目標網路。攻擊者透過電子郵件中放置的帶有惡意程式碼的連結，引導接收者點選從而獲得有效憑據。

6、受損的售後裝置

保險加密狗、智慧手機和其他第三方連線裝置也對汽車行業構成網路安全威脅。這些售後市場裝置直接連線到車輛系統，為駭客提供了另一種發動攻擊的方式。

7、勒索軟體

勒索軟體是當今科技領域最普遍的威脅之一，汽車行業也不例外。勒索軟體對原始裝置製造商、消費者和經銷商都是一個巨大的威脅。

威脅行為者可以竊取資料來換取贖金。這些攻擊會影響IT系統和運營，並可能造成停機從而導致高昂的代價。

8、汽車供應鏈攻擊

汽車工業利用一個複雜的供應鏈來採購用於製造新車、進行維修和提供服務的元件。這條供應鏈給行業帶來了巨大的風險，因為每個連線的端點都可能是一個隨時產生威脅的漏洞。

但供應鏈攻擊也會影響到消費者。包含惡意程式碼的更新可以推送到聯網的汽車上，網路攻擊者可以破壞韌體，惡意軟體可以暫停供應商的運營。

網路安全應該是整個汽車生命週期的核心目標。但同樣重要的是，汽車製造商要提高其網路安全專業知識，以監控道路上的聯網和自動駕駛汽車。在2023年及以後，汽車製造行業除了需要遵守相關法律法規，遵從網路安全框架外，汽車製造商、銷售商、消費者、供應商、修理工和所有業內人士在提高聯網汽車的安全性方面發揮著至關重要的作用。

來源：

https://www.cybersecurity-insiders.com/the-top-8-cybersecurity-threats-facing-the-automotive-industry-heading-into-2023/

2023年汽車行業面臨的8大網路安全威脅