【绿盟科技】车联网安全研究报告

绿盟科技创新研究院联合北京航空航天大学网络空间安全学院及北京交通大学电子信息工程学院近日发布了《车联网安全研究报告（第六期）》。该报告深入分析了车联网安全态势，重点解读了车联网领域的安全事件，并从车端电气架构、组件及其攻击面进行了详细分析，同时探讨了车联网攻击技术，并提出了车联网安全体系建设的方案。报告内容丰富，涵盖了从政策环境、安全事件、技术分析到安全体系建设等多个维度，为车联网行业的安全发展提供了宝贵的参考和指导。

车联网安全：智能汽车时代的新挑战

智能网联汽车，这个听起来充满未来感的词汇，正逐渐成为我们生活中的一部分。它们通过搭载先进传感器和运用人工智能技术，不仅能够自动驾驶，还能逐步成为智能移动空间和应用终端。然而，随着汽车变得越来越智能，它们面临的网络安全威胁也在不断增加。

安全合规政策环境的利好，正在加速车联网安全的发展。全球范围内，美国、日本、欧盟等地区都将车联网视为产业发展的重要方向，并已展开全面布局。我国政府同样高度重视智能网联汽车的安全问题，出台了一系列指导性文件，旨在保障智能网联汽车的安全运行，促进行业的健康发展。

但是，车联网安全能力的普遍不足，使得关键环节存在安全挑战。智能网联成为车企产品竞争的主要领域，各大车企都在战略布局车联网。预计到2025年，智能网联装配率可达到75.9%，市场将趋于成熟。然而，汽车行业网络安全处于早期阶段，行业网络安全最佳实践仍在探索中。

车联网安全事件的频发，已经引起了行业的广泛关注。自2015年以来，已公开的车联网领域安全事件高达近千起，且呈现日趋增长形势。这些安全事件主要集中在针对汽车漏洞的研究分析、针对车企数据的泄露勒索、针对平台服务的恶意攻击以及针对产业供应链的侵犯损害。

例如，本田汽车钥匙存在设计缺陷，无钥匙进入系统再报漏洞。安全研究人员发现某些型号的本田和讴歌汽车无线钥匙存在设计缺陷，导致钥匙系统存在“重放攻击”漏洞。这意味着位于汽车附近的攻击者，可以监听捕获无线钥匙发送给汽车的射频信号，然后通过重放该信号来获取汽车无钥匙进入系统的控制权限。

蔚来汽车遭遇数据勒索，车企数据泄露问题再次被推至风口浪尖。蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告称，公司收到外部邮件声称拥有蔚来内部数据，并以泄露数据勒索225万美元等额比特币。

YANDEX TAXI遇黑客操纵，莫斯科上演交通大堵塞。俄罗斯网约车服务平台Yandex Taxi遭遇黑客入侵，系统在同一时间段突然增加了大量伪造订单，造成大规模的交通阻塞。

奔驰、宝马、法拉利接连中招，API漏洞再出江湖。知名白帽黑客SamCurry及其团队针对数十家汽车制造商车联网服务进行了安全研究分析，发现在宝马、奔驰、法拉利等知名汽车品牌提供的云平台服务中均存在大小不一的API漏洞。

特斯拉系统遭黑客破解，OTA背后的“灰色”市场浮出水面。特斯拉除定期进行软件/固件更新，修复汽车漏洞，改善系统性能外，还支持以付费方式，通过空中下载技术(OTA)对汽车提供额外的升级服务。

供应商遭网络攻击，致丰田日本工厂被迫停工一天。丰田汽车宣布，由于其供应商小岛冲压工业株式会社遭受网络安全攻击，公司决定暂停其日本14家工厂28条生产线的正常运行。

操作系统QNX曝出漏洞，影响或达1.95亿辆汽车。360智能网联汽车安全实验室(360 Sky-Go)对外宣称，其发现黑莓操作系统QNX中存在多个安全漏洞，其中包括高危级别的整形溢出漏洞CVE-2021-22156，该漏洞影响黑莓QNX软件开发平台6.4到7.1间的多个版本。

MICODUS车辆定位器安全漏洞波及全球超百万辆汽车。BitSight的安全研究人员在一款MiCODUS车载全球定位定位器(GPS)——MV720中发现了多个高危安全漏洞，涉及全球169个国家超过150万辆汽车。

《汽车整车信息安全技术要求》发布，对国内车联网安全提供了有力保障。该标准规定了汽车信息安全管理体系要求，以及外部连接安全、通信安全、软件升级安全、数据安全等方面的技术要求和试验方法。

车联网安全防护任重而道远，国家、企业、用户均需重视起来并积极应对。国家以相关法律法规、标准条例的出台，推动车联网生态安全的建设，促使车企规范设备的安全管理，构建完备的防护体系，加强职工的安全培训，增强用户的防范意识，提升车联网整体安全水平。

这篇文章的灵感来自于绿盟科技发布的车联网安全研究报告。除了这份报告，还有一些同类型的报告也非常有价值，推荐阅读，这些报告我们都收录在同名星球，可以自行获取。

以上为节选样张，关注公众号【蝉鸣报告】回复领取PDF完整电子版（无广告）。

【蝉鸣报告】每日更新最新硬核报告，覆盖产业报告、全球化、经济报告、趋势等全领域。