連網車日益普及但連網裝置都可能遭駭，車輛被入侵危及安全不僅關乎人命，業者也面臨直接財務損失、法律責任、商譽受損等風險。MarketsAndMarkets最近的研究預估2020~2025年汽車網路安全的全球市場規模，將從19億美元成長至40億美元、年複合成長率16.5%。

據Telematics Wire報導，製造廠紛紛投入連網車製造以維持競爭力，通用汽車(GM)在1997年推出配備OnStar車載資通訊控制單元(TCU)的連網車，2003年僅提供資料的車載資通訊系統問世並逐漸被全球OEM廠商採用。如今連網車輛日增，但完成所有車輛的網路安全漏洞修補通常非常費時，讓網路罪犯有可趁之機。

2020年3月Tencent Keen Security Lab在部落格宣稱，他們藉由取得新一代車載資訊娛樂單元與TCU的完整控制權，再將惡意的控制器區域網路(CAN)指令傳送到不同的電子控制單元(ECU)，可讓車輛出現非預期或有安全之虞的操作，包括BMW、Tesla等製造商的車輛都曾遭遇類似攻擊。

IT業傳統的網路安全解決方案倚賴每日病毒與惡意軟體定義更新以防範攻擊，但被動且高更新頻率的方式不適合車載ECU，透過OTA(over-the-air)更新車輛軟體的頻率一般為每季1~2次，讓經常改變攻擊策略的網路罪犯能好整以暇，利用各種已被發現但尚未來得及防堵的漏洞擴大攻擊面。

網路安全漏洞曝光除讓連網車OEM廠商與供應商商譽受損，還有來自公眾與監管單位的沉重壓力。全球各地有越來越多法規要求製造商確保ECU等車載連網裝置的安全，例如ISO標準21434、美國國家公路交通安全管理局網路安全指導原則(NHTSA Cybersecurity Guidelines)、 UN ECE WP. 29等。

製造商為遵循法規要求須採用組織內研發團隊不熟悉的安全設計與安全驗證，但卻可能破壞目前已優化的製程、造成上市延遲。因此廠商選擇的安全解決方案須確保不會妨礙開發人員的工作。此外TCU是目前跟車輛連線的主要通道，因此會是網路攻擊的主要目標，須加強保護以確保乘客的資料隱私與人身安全無虞。

崁入式控制器僅能執行特定指令且終端使用者無法改變，可據以建構決定性(deterministic)崁入式安全解決方案。控制流完整性(Control Flow Integrity；CFI)的決定性特性有助於保護ASIL-B等級的閘道與ASIL-D等級的先進駕駛輔助系統(ADAS)等安全相關的關鍵ECU，因此CFI應無縫融入研發程序。

決定性安全解決方案可強化ECU防範非授權改變，運用CFI觀念可比對、檢驗、防止、回報函數呼叫與函數返回，是否背離ECU函數呼叫圖的已知良好狀態，透過此自我保護機制ECU無需倚賴病毒與惡意軟體定義更新，即可偵測與防範竄改以確保可靠性與避免車輛遭入侵。

By DIGITIMES