随着智能网联技术的快速发展,车联网产业已成为全球汽车行业转型升级的重要方向。根据最新数据显示,预计到2025年,智能网联汽车装配率将达到75.9%,市场将趋于成熟。然而,伴随这一趋势而来的是日益严峻的网络安全挑战。绿盟科技联合北京航空航天大学网络空间安全学院、北京交通大学电子信息工程学院发布的《2025版车联网安全研究报告》揭示,车联网安全事件呈现持续升级态势,从2015年以来已公开的安全事件高达近千起。尤其值得注意的是,黑莓QNX操作系统漏洞可能影响全球约1.95亿辆汽车,涉及宝马、奥迪、大众、蔚来、小鹏等多个国内外知名品牌。本文将深入分析当前车联网安全态势、典型安全事件案例、关键技术风险点以及防护体系建设方案,为行业提供全面的安全发展参考。
当前全球车联网产业正处于快速发展阶段,美国、日本、欧盟等汽车工业发达国家和地区都将车联网视为产业发展的重要方向,并已展开全面布局。美国在车辆安全驾驶、车路协同技术和应用、车辆安全系统等方面成效显著;欧洲通过多层次、多通讯方式的立体车联网信息服务网络构建来推动车联网应用;而我国车联网发展时间相对短暂,顶层设计仍在完善中,但政府正在大力推动车联网标准体系、技术体系的发展。
我国政府对车联网产业安全健康可持续发展高度重视。"制造强国"、"网络强国"、"交通强国"三大国家战略从顶层给予支持,各级政府陆续出台产业指导政策。2020年2月,11部委联合印发的《智能汽车创新发展战略》提出,到2025年,中国智能网联汽车的技术创新、产业生态、基础设施、法规标准、产品监管和网络安全体系基本形成。国内《道路机动车辆生产准入许可管理条例(征求意见稿)》《汽车数据安全管理若干规定(试行)》《汽车整车信息安全技术要求(征求意见稿)》等标准,要求企业逐步推进车联网网络安全和数据安全建设,同时基本明确将网络安全和数据安全要求纳入车辆准入监管市场的检测认证体系。
然而,与日益严格的合规要求相比,车联网安全能力建设却普遍不足。报告显示,现阶段汽车行业对网络安全的要求倾向于合规,且合规要求仍在不断建设完善,行业网络安全最佳实践仍在探索。由于车联网具有明显的跨行业属性,对于大部分汽车企业而言,仅关注到需要考虑IT安全、OT安全、DT安全,但在具体实施层面仍存在诸多困惑,对网络安全需求把控不足。
数据安全治理成为汽车行业面临的重大挑战。随着车企/供应链的数字化、车载软硬件的复杂化,在汽车整个生命周期中会产生海量数据。尽管数据为汽车行业带来了巨大变革和效益,但也使车企和供应商面临更加广泛的网络威胁。研究机构对近十年车联网安全事件分析发现,数据和隐私泄露成为车联网安全事件影响的首要类型,既损害了消费者利益,又影响了企业品牌形象。数据跨境传输也存在诸多挑战,我国数据出境安全评估办法和欧盟通用数据保护条例(GDPR)对车企车辆出口业务中涉及的数据安全问题严格把控,对企业安全架构、车辆架构提出了更高要求。
车联网威胁持续升级,相关安全事件层出不穷。不法分子往往直接或间接利用车联网软硬件中存在的安全漏洞发起攻击,对车企、用户以及第三方供应商造成安全损害。从行业发展轨迹来看,在研发智能网联汽车伊始,车企对车辆网络安全保障功能不够重视,直至2016年前后,车辆网络安全攻击事件频发,直接威胁到汽车用户人身财产安全,大部分车企才开始意识到建设网络安全保障能力的重要性。
本田汽车钥匙设计缺陷事件是典型的车端漏洞案例。2022年3月,安全研究人员发现某些型号的本田和讴歌汽车无线钥匙存在设计缺陷,不仅采用了不安全的固定码,而且还未加密,导致钥匙系统存在"重放攻击"漏洞(CVE-2022-27254)。位于汽车附近的攻击者可以监听捕获无线钥匙发送给汽车的射频信号,然后通过重放该信号来获取汽车无钥匙进入系统的控制权限,进而解锁汽车并远程启动引擎。2016年至2020年间生产的本田思域LX、EX、EX-L、Touring、Si和TypeR车型都存在上述漏洞。类似问题并不少见,早在2019年就有研究人员披露本田雅阁、思域、讴歌等多款汽车存在无线钥匙重放攻击漏洞(CVE-2019-20626)。
蔚来汽车数据勒索事件则凸显了数据安全的重要性。2022年12月,蔚来首席信息安全科学家卢龙在蔚来官方社区发布公告称,公司收到外部邮件声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。泄露数据包括蔚来内部员工信息、企业代表联系人信息、订单信息,以及与车主相关的身份证号码、联系地址、亲密关系、贷款数据等极为隐私的个人信息。蔚来汽车泄露的数据已经被勒索组织"拆分零售",2.28万条员工信息售价0.15比特币,3.99万条车主身份证信息售价0.25比特币,全部数据打包价仅需1个比特币。
供应链安全事件也值得高度关注。2022年2月,丰田汽车宣布由于其供应商小岛冲压工业株式会社遭受网络安全攻击,公司决定于3月1日暂停其日本14家工厂28条生产线的正常运行。小岛冲压工业株式会社是丰田汽车的一级供应商之一,在丰田汽车内饰件和动力相关零部件供应上的占有率为90%左右。受本次停产事件影响,丰田汽车面临约1.3万辆汽车产量的损失,占丰田汽车日本总产量的5%。服务器突然关闭导致与之连接的丰田汽车订货系统无法运行,对零部件供应产生了影响。
操作系统层面的漏洞影响范围更为广泛。2021年8月,360智能网联汽车安全实验室发现黑莓操作系统QNX中存在多个安全漏洞,其中包括高危级别的整形溢出漏洞CVE-2021-22156,该漏洞影响黑莓QNX软件开发平台6.4到7.1间的多个版本,攻击者可利用该漏洞发起拒绝服务或远程执行代码攻击。QNX与Linux、Android并称为汽车三大底层系统,几乎所有汽车搭载的车机系统都是由这三个底层系统开发而来。此次漏洞的曝光,或将直接影响全球范围内约1.95亿辆使用该系统的汽车。
车联网面临来自云端、路端、近场、车端、信息通信、智能驾驶算法模型等多方面的攻击,在进行信息安全防护体系建设过程中,须从多视角、多维度考虑。报告显示,云端逐步成为黑客的重点攻击对象,云端安全正面临严峻挑战。车路协同场景下的设备存在高危漏洞,针对车路协同场景的防护体系应及时规划并落实。
针对云端的攻击中,JT/T808协议攻击尤为突出。JT/T808标准规定了道路运输车辆卫星定位系统车载终端与监管/监控平台之间的通信协议与数据格式。该协议存在风险的主要原因有两个:一是现有暴露的服务都支持明文通信;二是该协议支持控车,在2019版本的协议中明确了开关车门的协议ID(0x8500)。由于远程通信需要,JT/T808服务需要被暴露在公网上,这就为攻击者攻击JT808服务带来了可乘之机。测试显示,依然可以使用服务注册设备,并进行鉴权,表明这一服务的实际应用存在安全风险。
TSP业务系统中的数据重要性高,可能会变成犯罪分子的新武器。在对某汽车TSP接口进行渗透测试过程中,发现MQTT服务不但存在弱口令问题,经过一段时间的扫描,其暴露的Topic可达数十万个。在这些接口中,存在信息泄露的漏洞,比如车辆的位置以及汽车当前的状态,如转向灯、车锁状态等。在某些接口中,存在升级包泄露的漏洞,攻击者可以下载升级包并植入恶意代码。
V2X攻击方面,OBU设备作为安装在汽车内部的零部件,更容易被攻击者获取。OBU设备的主系统和模组系统都存在调试串口,使用飞线进行焊接后,通过串口调试工具可以获取系统权限。更严重的是,某些安全芯片的SDK中暴露了访问芯片所需的密码或者PIN码,如果攻击者掌握了这个密码,安全芯片的防护功能将形同虚设。在固件的逆向分析中还发现,V2X模组的某些URL和双向认证证书可能被泄露,攻击者可以伪造客户端进行网络通信。
针对智能驾驶算法的攻击也越来越受到关注。数据投毒攻击发生在车联网学习模型的训练阶段,攻击者会故意操纵训练数据集,向其中注入带有恶意的样本,从而影响车联网模型的训练和测试过程。逃逸攻击主要发生在推理阶段,恶意车辆通过修改输入数据,使机器学习模型产生错误的预测结果。模型可用性攻击通过对机器学习模型进行有意的攻击,使其无法正常工作或提供正确的输出。这些攻击都可能导致自动驾驶系统做出错误判断,引发严重的安全事故。
面对日益严峻的车联网安全形势,建立完善的安全防护体系至关重要。国内外法规标准如ISO/SAE21434《道路车辆-网络安全工程》、UNR155网络安全法规、《智能网联汽车生产企业及产品准入管理指南》等,都明确要求企业建立汽车网络安全监测运营体系,内容涉及持续化监测网络攻击、威胁、漏洞,并及时响应,以及对网络攻击事件进行分析的数据取证能力。
绿盟科技提出的智能网联汽车网络安全管理体系建设服务,围绕智能网联汽车UN R155网络安全法规和UN R156软件升级法规两项国际法规、ISO/SAE 21434《道路车辆信息安全工程》国际标准等国内外安全合规要求,提供面向企业的网络安全管理体系(CSMS)咨询和软件升级管理体系(SUMS)咨询。基于PDCA模型,体系咨询服务的实施主要分为四个阶段:前期准备阶段、体系建设阶段、体系运行阶段和体系审核阶段。
在技术防护方面,绿盟科技研发了车联网端-边-网-云的信息安全主动防御体系,利用(VSOC+SDK)端云结合、端云安全联动的方式,基于大数据、人工智能、威胁建模等技术,将车/路端安全相关数据经采集检测、分析预警、应急处置的流程,完成检测、监测、响应、恢复的动态安全防护闭环能力。该系统具备两大核心功能:一是车辆安全态势感知与监测,通过部署在车端的轻量级安全探针,实时采集车辆网络安全数据;二是安全威胁分析与应急响应,基于云端的安全分析引擎,对海量车辆安全数据进行关联分析和威胁挖掘。
数据安全治理体系建设也成为车联网安全的重要组成部分。随着《汽车数据安全管理若干规定(试行)》等法规的实施,车企需要建立覆盖数据全生命周期的安全管理体系。这包括数据分类分级、数据权限管理、数据加密存储、数据跨境传输安全评估等多个环节。特别是在个性化服务与智能决策场景下,车联网数据和隐私保护需要特别关注,防止数据在采集、传输、存储、使用、共享、销毁各个环节中出现泄露风险。
以上就是关于2025年车联网安全发展的全面分析。随着智能网联汽车的快速普及,车联网已成为网络攻击的重点目标,安全事件频发,数据隐患突出。庞大的汽车数量和复杂的系统组件注定了车联网安全防护任重而道远,需要国家、企业、用户共同重视并积极应对。
国家层面,通过相关法律法规、标准条例的出台,推动车联网生态安全的建设;企业层面,应规范设备的安全管理,构建完备的防护体系,加强职工的安全培训;用户层面,需要增强防范意识,定期更新系统固件,及时安装漏洞补丁。只有多方协同,才能有效提升车联网整体安全水平,避免因网络攻击导致的非法操控、信息泄露、财产损失和人身危害。
未来,随着自动驾驶技术的进一步成熟和车路协同系统的广泛应用,车联网安全将面临更多新的挑战。行业需要持续关注新技术带来的安全风险,提前布局防护措施,确保智能网联汽车产业健康可持续发展。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
