挪威最大公共交通營運商 Ruter 在內部檢測中發現,挪威國內使用的中國宇通 (Yutong) 電動巴士內藏羅馬尼亞 SIM 卡,容許製造商遠程存取車輛控制系統。挪威運輸部已啟動網絡安全標準檢討,丹麥亦隨即展開類似調查。
測試揭示遠程控制風險
Ruter 於今年夏季在一個廢棄礦井內進行保密測試,選址目的是完全隔絕外部訊號干擾。測試對象包括一輛全新宇通巴士及一輛使用 3 年的荷蘭 VDL 巴士。結果顯示,VDL 巴士不具備無線軟件更新 (OTA) 功能,外部存取入口有限,網絡安全風險較低。
相反宇通巴士透過 SIM 卡的流動網絡連接,讓製造商可直接存取電池及電源管理系統進行軟件更新及診斷。Ruter 指出,理論上製造商可遠程停止或癱瘓巴士運作。不過測試未發現巴士鏡頭連接互聯網,排除了影像監控風險。
宇通否認指控 強調合規
宇通回應時否認巴士可被遠程控制,強調公司嚴格遵守營運地區的法律法規。宇通發言人表示,車輛數據已加密處理並儲存於德國,僅用於車輛維護、最佳化及改善售後服務。公司指 SIM 卡用途是進行遠程軟件更新及技術故障排查。
影響範圍及政府回應
挪威現時約有 1,300 輛電動巴士投入服務,當中約 850 輛由宇通製造。單在首都奧斯陸及鄰近地區,就有約 300 輛宇通巴士每日運作。挪威運輸部長 Jon-Ivar Nygård 讚揚 Ruter 主動進行測試,政府將評估來自非安全合作夥伴國家的供應商所帶來的風險。
丹麥當局亦已展開調查,檢視國內數百輛中國製電動巴士的網絡安全漏洞。丹麥公共交通營運商 Movia 表示,當局未接獲巴士被遠程停用的個案,但正尋求方法消除漏洞。
安全措施及未來部署
Ruter 行政總裁 Bernt Reitan Jenssen 表示,今次全面而獨特的測試讓公司能在巴士上實施適當保護措施。他指雖未發現惡意活動證據,但已將憂慮轉化為具體知識,用以強化安全標準。
Ruter 現正實施多項措施應對風險,包括在未來採購訂立更嚴格安全要求、開發防火牆確保本地控制及防止黑客入侵、與國家及地方當局合作制訂明確網絡安全要求。公司亦計劃延遲傳送至巴士的訊號,以便在更新到達巴士前先行檢視內容。
Ruter 表示現時可按需要切斷通訊或實體移除 SIM 卡,令電動巴士以本地或離線模式運作。不過調查人員指出,移除 SIM 卡雖可阻止遠程停用,但同時會令其他重要連網服務失效。
資料來源:Ruter