關閉選單
  1. Home
  2. NEWS最新消息
  3. 訊息與報導
  4. 車輛安全
顯示分類
2025.05.21
訊息與報導/車輛安全
未揭露(undisclosed)漏洞導致的召回風險:實現軟體定義車輛更安全的策略
汽車產業正因軟體定義車輛(SDVs)的崛起而發生革命性變革,軟體在車輛功能、連接性和自主性中扮演著關鍵角色。然而,這一轉型帶來了顯著的網路安全挑戰,尤其是未揭露漏洞(如零日漏洞)所引發的風險。這些漏洞在被攻擊者利用之前未為製造商和安全團隊所知,導致高昂的召回成本、聲譽損害以及對乘員安全的潛在威脅。
基於 VicOne 的見解,本報告探討了未揭露漏洞導致的召回風險,並概述了增強 SDV 安全的積極策略。
 

未揭露漏洞的性質

未揭露漏洞,特別是零日漏洞,是軟體或硬體中的缺陷,攻擊者可在漏洞被識別或修補前加以利用。與已知漏洞(記錄於國家漏洞資料庫 NVD 等資料庫中)不同,零日威脅保持隱秘,使其極具危險性。汽車產業因 SDV 複雜性增加而尤為脆弱,SDV 整合了大量軟體組件、第三方供應商和連接系統。一個未檢測到的漏洞可能導致災難性後果,例如車輛被未授權控制、數據洩露,甚至對乘員造成身體傷害。
VicOne 提到了一個顯著案例,一家原始設備製造商(OEM)因零日攻擊召回了 140 萬輛車並被罰款 1.05 億美元,此事件凸顯了此類漏洞的財務和運營負擔。報告識別出三種零日威脅出現的情景:攻擊者知曉漏洞但未向他人披露、揭露的(disclosed)漏洞但無立即解決方案、以及披露延遲導致無法及時緩解。這些情景加劇了召回風險,因為製造商可能缺乏主動應對威脅的工具。
 

漏洞管理現有局限性

傳統漏洞管理平台主要針對已知開源漏洞,未能處理零日和未披露威脅。這種差距在汽車行業尤為關鍵,因 SDV 依賴廣泛的軟硬體生態系統。
VicOne 的分析顯示,現有方法提供的能見度有限,常錯過高級持續性威脅(APTs)、勒索軟體和通用弱點枚舉(CWE)問題。
依賴被動措施—僅在漏洞被利用後修補—加劇了召回風險。例如,2024 年 Pwn2Own Automotive 活動在三天內發現了 49 個零日漏洞,超過了 2023 年的總和。這些發現包括可注入惡意控制器區域網路(CAN)消息、啟用遠程程式執行(RCE)以及危害充電系統的漏洞,凸顯了預防性行動的緊迫性。
 

實現更安全的軟體定義車輛的策略

為緩解未發現漏洞導致的召回風險,VicOne 提倡採用多方面、積極的策略。以下策略旨在增強 SDV 的安全性和韌性:
  1. 基於人工智慧的零日識別:利用人工智慧,VicOne 採用先進算法在漏洞被利用前識別零日漏洞。此主動檢測縮短了攻擊者利用漏洞的窗口,使製造商能在開發階段解決風險,減少市場後召回的需求。
  2. 暗網監控: VicOne 的 CyberThreat 研究實驗室監控暗網來源以檢測新興威脅和零日漏洞。此情報提供七天的優勢,使 OEM 和供應商能在公開披露前準備緩解策略,從而防止廣泛利用。
  3. 漏洞收購與情報共享:通過與 Pwn2Own Automotive 等漏洞發現比賽的合作,VicOne 收購關鍵威脅數據並與業界利益相關者共享。此合作方式確保漏洞被集體解決,降低供應鏈中的召回可能性。
  4. 汽車漏洞發現比賽:類似 Pwn2Own Automotive 的活動激勵安全研究人員在受控環境中發現零日漏洞。2024 年比賽揭示了可能導致汽車被盜或電網超載的漏洞,為 OEM 提供可行的洞察以加強系統。
  5. 通過 xZETA 增強能見度:VicOne 的 xZETA 平台提供對零日、未披露和已知漏洞的卓越能見度,超越傳統工具。通過掃描車輛軟體並分析惡意行為,xZETA 從一開始就減少攻擊面,實現預防性修補和風險管理。


對汽車產業的影響

採用這些策略對汽車產業有深遠影響。主動解決未發現漏洞可防止高成本召回,召回往往涉及數百萬輛車和重大財務罰款。例如,前述 OEM 的召回案例顯示單一漏洞如何擾亂運營並侵蝕消費者信任。通過實施 VicOne 的解決方案,製造商可遵守歐盟網路韌性法案(CRA),該法案要求漏洞監控和報告,違規將面臨高額罰款。
此外,增強安全促進了 SDV 創新,例如 AI 驅動的駕駛艙和電動車充電系統,而不犧牲安全。一級供應商從其軟體組件的風險識別中受益,而 OEM 則獲得對其生態系統的集中能見度。此整體方法符合 ISO/SAE 21434 標準,確保未來導向的合規策略。挑戰與考量儘管有這些進展,挑戰依然存在。第三方組件的整合和 SDV 技術的快速演進創造了動態攻擊面,需要持續適應。此外,實施先進安全措施的成本可能給較小供應商帶來壓力,需要像 xZETA 這樣的靈活解決方案。製造商還需在安全與性能之間取得平衡,確保修補和虛擬保護不降低車輛功能。
 

結論

未發現漏洞導致的召回風險對日益增長的軟體定義車輛生態系統構成重大威脅。傳統漏洞管理無法有效應對零日漏洞,導致行業易受攻擊,後果嚴重。VicOne 的主動策略——基於人工智慧的識別、暗網監控、情報共享、發現比賽和通過 xZETA 增強能見度——提供了一個強大的框架來緩解這些風險。通過採用這些措施,OEM、供應商和利益相關者可增強 SDV 安全,遵守法規,並在日益連接的汽車未來建立消費者信心。過去召回的教訓強調了這種轉變的必要性,使業界必須將網路安全作為車輛設計和生產的核心組成部分。
資料來源:https://vicone.com/zh/blog/the-recall-risk-from-unseen-vulnerabilities-strategies-for-safer-software-defined-vehicles