AI・EV普及時代的陰影:白帽駭客對抗隱形漏洞

迅速普及的「智能連網車」:隱藏於便利性背後的風險與對策

2月 1, 2025
by ANITA DE MICHELE
AI・EV普及時代的陰影:白帽駭客對抗隱形漏洞
分享此文章
JSTORIES ー 隨著能夠與網際網路持續連接,並利用外部系統資訊的「智能連網車(Connected Car)」逐步普及,汽車科技的便利性、安全性與駕駛效率大幅提升。然而,車輛的網路化也帶來了新的風險。例如,駭客可能遠端入侵,控制方向盤,甚至竊取車主的個人資訊,這類汽車相關的網路攻擊已成為一項日益受到關注的安全隱憂。
為了加強智能連網車(Connected Car)的資訊安全,關鍵對策之一是提前發現車載應用程式與作業系統中的未知漏洞,並在駭客利用這些漏洞進行攻擊之前,及時修復與強化安全性。
肩負重任的全球白帽駭客於今年1月齊聚日本,參加在東京舉行的一場為期三天的競賽,比拼發現「零時差漏洞」(指的是尚未被軟硬體廠商或大眾發現,且尚無修補程式(Patch)的安全漏洞)。的技術。
Pwn2Own Automotive 2025」是全球規模最大的零時差漏洞發現競賽之,於東京國際展示場(Tokyo Big Sight)舉行。該競賽由專注於汽車網路安全的 VicOne趨勢科技旗下子公司)與零時差漏洞發掘社群「Zero Day Initiative(ZDI)」共同主辦。延續了去年的首屆賽事,今年是該活動的第二次舉辦。
VicOne 的CEO執行長馬克斯・陳(Max Cheng)與趨勢科技(Trend Micro)威脅研究部門副總裁布萊恩・戈倫克(Brian Gorenc)於 2025 年 1 月 22 日在東京國際展示場(Tokyo Big Sight)正式宣布「Pwn2Own Automotive 2025」開幕。        提供:VicOne(以下皆同)
VicOne 的CEO執行長馬克斯・陳(Max Cheng)與趨勢科技(Trend Micro)威脅研究部門副總裁布萊恩・戈倫克(Brian Gorenc)於 2025 年 1 月 22 日在東京國際展示場(Tokyo Big Sight)正式宣布「Pwn2Own Automotive 2025」開幕。        提供:VicOne(以下皆同)
今年的 Pwn2Own Automotive 中,來自13個國家的21支隊伍參賽,分為車載資訊娛樂(IVI)系統、電動車(EV)充電器、作業系統(OS)三個類別,挑戰發掘未知的漏洞。
為期3天的競賽中,總共發現了49個零時差漏洞(Zero-Day)。由來自英國的網路安全研究員Sina Kheirkhah(隸屬 Summoning Team)拿下最高榮譽「Master of Pwn」頭銜,並抱走222,250美元(約732萬台幣)的獎金。
本次活動與專注於汽車尖端技術的展覽會「Automotive World」聯動舉辦,受到業界矚目。
從左至右:Zero Day Initiative(ZDI)的達斯汀・查爾茲(Dustin Childs)、Pwn2Own Automotive 2025「Master of Pwn」得主西納・凱爾哈(Sina Kheirkhah)、VicOne 執行長馬克斯・陳(Max Cheng)、趨勢科技(Trend Micro)威脅研究部門副總裁布萊恩・戈倫克(Brian Gorenc)。
從左至右:Zero Day Initiative(ZDI)的達斯汀・查爾茲(Dustin Childs)、Pwn2Own Automotive 2025「Master of Pwn」得主西納・凱爾哈(Sina Kheirkhah)、VicOne 執行長馬克斯・陳(Max Cheng)、趨勢科技(Trend Micro)威脅研究部門副總裁布萊恩・戈倫克(Brian Gorenc)。
Pwn2Own Automotive 2025 競賽最終結果。
Pwn2Own Automotive 2025 競賽最終結果。

Pwn2Own Automotive為何僅在日本舉辦?

關於「Pwn2Own Automotive」連續兩年僅在日本舉辦的原因,主辦方VicOne的CEO執行長馬克斯・陳(Max Cheng)表示,日本是最佳舉辦地,因為這裡能夠提供與汽車產業主要企業直接交流的機會,同時強調汽車技術領域中網路安全的重要性。
在 Pwn2Own 2025 上強調汽車技術領域網路安全重要性的VicOne執行長馬克斯・陳(Max Cheng)。
在 Pwn2Own 2025 上強調汽車技術領域網路安全重要性的VicOne執行長馬克斯・陳(Max Cheng)。
「日本的汽車產業擁有世界頂級的規模,其影響力甚至超越美國。憑藉卓越的安全性與品質標準,日本為我們開發與精進網路安全解決方案提供了理想的環境。」馬克斯・陳(Max Cheng)如此表示。
日本不僅在汽車技術領域確立了領導地位,同時也擁有如VicOne的母公司——趨勢科技(Trend Micro)這樣,在網路安全領域具有全球競爭力的企業,進一步證明了日本作為活動舉辦地的戰略重要性。「在日本舉辦這項賽事,是提升汽車領域網路安全意識的絕佳機會。隨著車輛越來越多地與網路連接,攻擊風險不斷上升,這一議題的重要性也持續增加。」 馬克斯・陳(Max Cheng)補充說明。

充電基礎設施的脆弱性與新興網路安全風險

隨著電動車(EV)與智能連網車(Connected Car)普及,汽車網路安全面臨前所未有的新風險。2023年,全球電動車銷量已達約1,400萬輛,佔整體乘用車銷量的約18%。相較2020年的4%,呈現大幅增長。此外,預估2025年全球運行中的連網車將超過4億輛,相較於2021年的約2億3,700萬輛,增長速度驚人。 這種快速擴張也意味著潛在的網路攻擊風險將大幅上升。
另一方面,智能連網車的快速普及,加上5G、Wi-Fi、Bluetooth等資訊技術的發展,正在擴大網路攻擊的途徑,使汽車相關的資訊安全風險以各種形式不斷增加。
「充電基礎設施的脆弱性就是其中一個例子。 網路犯罪者可能會利用這些系統作為突破點,進而入侵車輛,但大多數人並未意識到這一風險。」 馬克斯・陳(Max Cheng)指出。
充電中的電動車(EV)。    提供:Envato(以下同樣適用)
充電中的電動車(EV)。    提供:Envato(以下同樣適用)
此外,馬克斯・陳(Max Cheng)警告稱,不僅是電動車(EV),其他類型的車輛同樣面臨安全風險,然而許多使用者尚未意識到這一點。
「風險不僅限於電動車(EV)。包括混合動力車(Hybrid)在內,所有內建作業系統的車輛都可能成為網路攻擊的目標。隨著日本電動車市場的擴展,對於先進的網路安全解決方案的需求也日益增加。」

AI帶來的汽車網路安全挑戰

人工智慧(AI)正以多種形式改變汽車產業,例如自動駕駛技術與安全性的提升。然而,這同時也帶來了新的挑戰。「車輛內建的 AI 系統,例如語音控制功能,可能會被駭客劫持或發生故障,從而引發危險狀況。此外,個人資訊外洩的風險也不容忽視。」 馬克斯・陳(Max Cheng)解釋道。
為了應對這些挑戰,VicOne正積極開發利用AI技術的工具,以保護車輛安全,並防止機密資訊外洩。「我們不僅利用AI來確保系統的安全性,還將其作為更高效的監測與檢測工具,以識別潛在的安全侵害。」 馬克斯・陳(Max Cheng)表示。
AI技術的發展使得透過智慧型手機控制車輛成為可能,但同時也帶來了系統遭駭(劫持)或操控失靈等風險日益增加的問題。。
AI技術使得透過智慧型手機操控車輛成為可能,但同時也凸顯出系統遭駭(劫持)或操作失靈等風險日益增加的問題。
AI技術使得透過智慧型手機操控車輛成為可能,但同時也凸顯出系統遭駭(劫持)或操作失靈等風險日益增加的問題。

識別零時差(Zero-Day)漏洞的重要性

Pwn2Own競賽的目標是在實際環境中測試最先進的汽車軟體,並在漏洞被黑市惡意利用之前加以識別,以強化汽車的網路安全。主辦單位表示,高達5,000萬美元的高額獎金不僅吸引全球白帽駭客(White Hat Hackers)積極參與,還促進資安研究的發展,培養下一代的網路安全人才。這不僅是對當前技術的提升,更是對未來風險防範的一項重要投資。
Pwn2Own 2025 現場展示如何發現系統漏洞的過程。     提供:VicOne
Pwn2Own 2025 現場展示如何發現系統漏洞的過程。     提供:VicOne
「透過像 Pwn2Own 這樣的活動,我們不僅能夠應對當前的安全威脅,還能為未來的汽車安全建立更堅實的基礎。」在接受JSTORIES 採訪時,馬克斯・陳(Max Cheng) 強調了該活動的重要性。
翻譯:一色崇典 
採訪:JSTORIES(Lucas Maltzman、Anita De Michele)
編輯:藤川華子、北松克朗
封面照片:VicOne
關於本篇報導的查詢,請聯繫:jstories@pacificbridge.jp

***

本篇報導的英文版請點此查看。
留言
此文章尚無評論
發佈

分享此文章