圖片來源: 

Fiat Chrysler汽車

現在不只是科技或軟體公司會為了抓軟體漏洞祭出懸賞獎金,就連傳統汽車大廠,也開始因為資安的重要性與日俱增,而開始學習軟體公司的作法。例如,美國汽車大廠飛雅特克萊斯勒(Fiat Chrysler)近日就發起了一項汽車漏洞懸賞計畫,廣邀資安研究人員或白帽駭客,共同挖掘出Fiat Chrysler汽車的軟體漏洞,還祭出最高1,500美元(相當於4萬5千元新臺幣)的獎勵措施。

這項汽車漏洞懸賞專案是由Fiat Chrysler美國分公司針對自家連網汽車推出的抓漏洞計畫,並借助BugCrowd的應用安全測試平臺來展開抓漏行動。Bugcrowd是一家漏洞賞金項目組織商,以群眾外包(Crowdsourcing)方式,來引入更多資安高手加入平臺來抓漏,並會依據提交產品安全漏洞的重大程度,來給予提報者獎勵。Bugcrowd宣稱,目前加入這個抓漏平臺的資安研究員已有28,000人。

Fiat Chrysler這次列出的汽車抓漏洞項目,主要涵蓋了Fiat Chrysler連網汽車的內部系統,以及所有與汽車相連的外部服務和應用。Fiat Chrysler指出,每抓到一個Fiat Chrysler汽車軟體漏洞,都可領到150美元到1,500美元不等的獎勵補助,並也強調對於這些抓到汽車漏洞的資安研究員或白帽駭客,將不會採取任何法律行動,事後也不會要求資安人員必須要參與協助調查。

Fiat Chrysler汽車美國分部安全架構資安資深經理 Titus Melnyk表示,透過這次的汽車抓漏計畫,希望能夠拉近資安研究員與汽車車廠間的距離,並且可以經由分享他們所發現的各種潛藏威脅的汽車漏洞,來幫助車廠盡速將漏洞修補,以降低汽車被駭的風險。

Fiat Chrysler去年7月才因為資安漏洞而緊急召修在美國售出的140萬輛Jeep Cherokee車款,而隋著接下來越來越多新出廠的Fiat Chrysler汽車車款都配備有4G連網的功能,甚至今年底前將會有裝載Google無人駕駛系統的Fiat Chrysler自動駕駛汽車上路,也使得Fiat Chrysler開始加強汽車資安。

儘管,Fiat Chrysler這次提供的抓漏奬勵金額,連軟體或科技大廠的10分之1都還不到,例如Google去年單筆抓漏最大獎金高達15萬美元,但從Fiat Chrysler大動作地展現要抓漏的決心,甚至不惜將自家內部汽車系統或應用,開放提供外界進行安全測試,也反映出汽車業者也開始像軟體公司一樣重視汽車資安,甚至將資安併入成為未來汽車安全測試的重要環節。

Fiat Chrysler以外,電動車業者Tesla目前也同樣在Bugcrowd平臺推出有汽車抓漏獎勵措施,並針對每個漏洞提供25美元到10,000美元的獎勵。而今年1月,通用汽車(GM)也在白帽駭客和車廠間建立一個資安聯繫的管道,可以即時通報他們發現的潛在汽車安全瑕疵或重大漏洞,讓車廠可以盡速修補。


Advertisement

更多 iThome相關內容