随着全球车队数字化转型步伐加快,联网汽车正从移动交通工具逐步演变为“装着轮子的服务器”。但在便利性与智能化提升的同时,安全风险也随之加剧。Element Fleet Management公司首席信息安全官(CISO)Robert Knoblauch在接受Help Net Security采访时指出,2025年,联网汽车正面临以下四大主要安全威胁:
一、远程 API 接口被攻击:汽车“钥匙”形同虚设
车辆通过API接口与云端、移动应用等系统通信,这些接口一旦被攻破,攻击者即可绕过传统钥匙认证机制,实现远程解锁甚至发动汽车。在过去一年中,已有多个OEM厂商曝出API控制漏洞,导致车辆被盗案件频发。这类攻击不仅直指车主财产安全,也暴露出汽车厂商在API权限控制、身份验证和加密机制方面的薄弱环节。
二、车载诊断端口(OBD)与传感器欺骗攻击
车载诊断系统和各类控制模块已成为攻击者的新目标。Knoblauch指出,研究人员曾成功通过无线方式向重型卡车注入J-bus数据包,从而操控刹车系统。更为先进的攻击方式还包括对自动驾驶激光雷达(LiDAR)的欺骗,诱导车辆“看到”并不存在的障碍物。这类攻击手段越来越复杂,尤其是在电动车和自动驾驶汽车快速普及的背景下,安全防御需要覆盖从充电桩、车载设备到驾驶员行为的完整链路。
三、OTA更新与后端系统被劫持:软件变成“后门”
据Statista和高盛数据显示,2025年每辆新车所包含的软件代码已高达6.5亿行,远超传统IT系统复杂度。Knoblauch指出,后端系统和无线软件更新(OTA)机制成为攻击者的新切入点。一些攻击利用OTA更新流程中的加密缺失、认证疏忽和完整性校验漏洞,实现系统劫持和恶意代码注入,最终可远程关闭安全系统或修改车辆参数。这种攻击路径日益接近传统IT领域的“软件供应链攻击”模式。
四、供应链与第三方应用成为最大隐患
联网汽车的各子系统通常来自不同厂商,如车载娱乐系统使用Android Automotive或QNX平台,车辆信息处理依赖多个ECU芯片,这种多元化架构加剧了供应链攻击风险。此外,用户通过手机接入车辆系统(如Spotify、天气服务、地图导航等)同样带来新的攻击面。近期还出现了通过电动车充电桩访问车辆数据、实施远程攻击的案例。Knoblauch警告,2025年,第三方应用集成仍是整车安全体系中最薄弱的一环。
打造零信任与智能化车队防御体系
面对上述挑战,Knoblauch表示,车企的核心安全战略包括三个关键要素:
- 零信任分层架构:对每一项数据传输与操作进行持续验证和最小权限控制,确保攻击者即便渗透某一环节也难以横向移动。
- 实时资产可见性:实现对车辆VIN号、软件物料清单(SBOM)、固件版本和补丁状态的动态追踪,与传统IT资产管理保持同样的精度。
- AI驱动的威胁关联分析:边缘AI系统在本地设备上实时分析CAN总线、GPS轨迹、传感器异常等数据,并进行优先级排序,以减少驾驶员对低优先级事件的干扰。
Knoblauch强调,车联万物的未来不可逆转,但唯有构建“安全即服务”的理念,并将数字安全深度嵌入车辆设计、制造和运营全过程,才能真正为车主、乘客及整个交通系统带来信任与保障。
本文转自:GoUpSec,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。
