智慧應用 影音
Veeam Q3 Webinar
Automation

連網車趨普及 Karamba Security:汽車遭駭嚴重性遠高於手機

Karamba Security提供端對端的產品安全方案,助車廠不必花大錢更改研發、驗證或製造程序。Karamba Security

隨著汽車連網功能發展,車用資訊安全風險也跟著提高。以色列新創Karamba Security提供端對端(end-to-end)的產品安全方案,涵蓋設計階段到弱點管理。該公司已獲得多個亞洲企業的投資並建立夥伴關係,正在東南亞地區尋求更多機會。

Karamba於2016年由Ami Dotan、David Barzilai、Tal Ben-David和Assaf Harel創立。除了傳統汽車和電動車產業,他們的解決方案也適用於企業邊緣運算和消費物聯網。

 點擊圖片放大觀看

Karamba Security共同創辦人兼副總David Barzilai。Karamba Security

Karamba銷售和行銷業務副總David Barzilai表示,汽車被駭客入侵可能危及生命安全並造成社會巨大的損失,嚴重性遠高於手機或伺服器被駭。電動車逐漸普及、自駕車持續發展,車廠和供應商是否能正確面對資安問題變得至關重要。但Tesla等車廠仍以手機製造商的思維處理資安疑慮。

例如,2022年1月時,德國一名19歲的資訊安全研究人員揭露,他透過第三方數據蒐集軟體TeslaMate駭進25輛在15個不同國家的Tesla。根據Business Insider報導,這名研究人員成功在遠端打開車門、車窗,甚至還能使用Tesla無鑰匙駕駛的功能。

Barzilai表示,雖然漏洞存在第三方的應用程式裡,但Tesla也須負起部分責任;因為該公司使用手機製造商的思維,開放車輛的應用程式介面(API)給開發者,容許低品質、高風險的第三方應用程式在車輛環境裡運作,讓車子暴露於資安風險中。Barzilai指出,車廠在同意提供第三方的服務給客戶前,必須確認該項服務的安全品質。

關於電動車的資安弱點,車載充電器和電池管理系統遭駭的可能性極高。車載充電器因為須開放連接Wi-Fi,容易被攻擊;又因為很靠近電池,容易讓駭客有機可乘,甚至從遠端控制車速、突然停住車子。

適合單一用途裝置的確定性解決方案

Barzilai表示,汽車產業習慣採用沿用多年的硬體和軟體程式館(Software Library),因為這樣能減少改變,也降低對事業計畫和獲利力的影響。因此,Karamba的業務是建立在不影響成本高昂的研發過程和供應鏈情況下,協助車廠和供應商保護車輛和裝置。

多年來,Karamba已發展出多項端對端的安全產品和服務,包括從產品規格分析資安疑慮,到滲透測試(penetration testing)和弱點管理。Karamba透過確定性演算法(deterministic algorithms)擷取、解碼一個裝置的二進位資料,以了解該裝置的運作。

透過設置檢查點(checkpoints),確保若裝置沒有照原本設定的方式運作,就是遭到攻擊了。這樣的機制能夠自動鎖住車內的電子控制器(electronic control unit)等裝置,以達到保護效果。

這種做法和以經驗法則為基礎的解決方案(heuristic model)不同。後者常見於手機的資安服務,是以集合各種「正常」情況的統計模型為基底,若出現和模型偏誤的情況,就會被懷疑是駭客的攻擊。

手機必須保持為開放平台,因為人們會用它做各式各樣的事情,也因此適合以經驗法則為基礎的資安解決方案。若是像電子控制器這種單一用途的裝置,就需要利用確定性演算法的解決方案,獲得更好的保護。

在亞洲市場嶄露頭角

2021年12月,Karamba與台灣記憶體大廠華邦電子共同宣布一項符合汽車、物聯網需求的資安方案。Barzilai表示,這項產品為配有華邦記憶體的裝置在執行線上更新(OTA)時,提供立即可用(out-of-the-box)的安全防護。無線更新在汽車產業的使用已愈來愈普遍。

除了華邦,Karamba已和許多亞洲企業建立合作關係。如該公司為越南VinFast公司的電動車提供資安服務,VinFast也參與Karamba最近一輪、2021年12月的募資。此外,三星SDS(Samsung SDS)已選用Karamba的物聯網端點安全方案,並提供策略性資金。

Barzilai表示,亞洲市場對Karamba來說非常重要;尤其在東南亞和東亞區域,聚集許多物聯網、汽車產品製造商,這些公司擁有先進技術,生產高品質的物件。Karamba可以協助這些廠商製造符合國際資安規範的產品,並且不必花大錢更改研發、驗證或製造程序。

為應對逐漸成長的汽車資安疑慮,2021年發布的ISO/SAE 21434和聯合國第155號規範等都要求設置資安管理系統,將成為業界標準。

Barzilai建議,供應商要和車廠確認是否有需要達成的資安標準,也應接受差距分析(gap analysis),了解其目前須優先解決的資安問題是什麼。由於汽車的設計、執行過程可能要花費數年,廠商應該及早應對,以免影響日後的生產時程,或要花更多錢去解決問題。

  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: 資安