1、 1 目录 1 引言 2 全球研究机构与组织 3 供应链 4 智能用车场景威胁 5 总结和趋势判断 网络安全威胁报告 智能汽车 木卫四科技 2022 智能汽车网络安全威胁报告 目录 1 引言 2 全球汽车安全研究机构与组织 4 关键零部件的威胁 5 Case Study TBOX 威胁 6 日益增长的智能化服务威胁 8 Case Study 数字钥匙威胁 9 总结 10 趋势与挑战 11 关于我们 12 参考引用 2022 智能汽车网络安全威胁报告 为安全出行保驾护航 新增漏洞 随 着汽车“电动化、智能化、网联化”的发展，汽车已然变成“车轮上的联网计算机”，网联化和智能化给汽车提供了前所未有的

2、能力，同时也给车辆带来了更多的安全威胁。自 2010 年以来公开报道可见的与智能汽车相关的安全事件多达 1200 多起，其中有 207 起发生在 2020 年1。相较之下，2022 年发生的事件有近 300 起，数量 增 加 了 49%。2020 年 全 年 有 30 个 与 汽 车 直 接 相 关 的CVE(Common vulnerability&Exposures，公共漏洞和暴露)公布，截止到 2022 年 12 月相关的 CVE 数量猛增至 284 个，2 年的时间增加 8 倍之多。自 2022 年初至今，木卫四汽车威胁情报中心分析了来自媒体、学术研究机构、攻防比赛、社交网络、深网和暗

3、网等多方信息源，研究了300 多起网络攻击事件及智能汽车相关的 284 个 CVE 漏洞，结果显示智能汽车目前主要面临三方面的风险：数字钥匙成为黑客“解锁”车辆的新“入口点“，技术上以中继攻击、重放攻击和仿冒身份攻击等为主；智能化服务成为黑客“操纵”车辆的新“控制点”，技术上以身份凭证泄漏、服务接口滥用和车辆非法升级等为主；汽车零部件成为黑客攻击链路中的“关键点“，技术上以研究关键零部件的固件漏洞、系统漏洞和第三方组件等为主。1200+49%280+8 倍 汽车漏洞 新增事件 安全事件 1 引言 木卫四科技 2022 智能汽车网络安全威胁报告 50+2022 年出现了众多智能汽车破解事件与严重

4、漏洞，木卫四汽车威胁情报中心追踪研究这些破解事件和漏洞发现，随着汽车智能化功能的不断丰富，越来越多的黑客、安全团队、学术机构、安全爱好者等转战汽车领域的安全研究和漏洞挖掘。David Colombo 是一位来自德国的 19 岁安全研究员，他发现了特斯拉第三方应用程序 TeslaMate 的一个 API 调用权限升级的漏洞(CVE-2022-23126)，TeslaMate 是一些特斯拉车主用来分析车辆数据的第三方应用程序。通过该漏洞可远程入侵 13 个国家超过 25 辆特斯拉电动汽车，利用这些漏洞可实现对车辆的远程控制2。Dartmouth College 的两个学生 Ayyappan Raj

5、esh 和 Blake Berry，3 月份在网上披露称本田和讴歌汽车的遥控钥匙存在“重放攻击”漏洞（CVE-2022-27254），该漏洞可被利用解锁汽车，并在较短距离锁定、解锁、控制车窗、打开后备箱和启动目标车辆发动机的访问权限3。NCC 披露了特斯拉 Model 3 和 Model Y 车型无钥匙进入系统存在的漏洞。通过中继攻击无钥匙进入的蓝牙链路层数据，只需不到 10 秒即可解锁和启动汽车4。软件工程师 Daniel Feldman 成功破解了现代/起亚汽车信息娱乐系统的软件升级功能，升级过程中需要用到现代汽车公司用来管理软件的密钥。Daniel Feldman 通过谷歌搜索发现网上公

6、开实例的 AES key 即为现代汽车软件使用的密钥，通过此密钥，任意用户均可对升级包进行篡改，重打包，并成功写入到信息娱乐系统中5。Bimmer Tech 是一家专业的汽车改装公司，也是一个专门破解汽车程序的黑客团队。BMW 8 月份在韩国和英国推出了针对车辆性能的订阅服务(18 美元/月的座椅加热功能)。Bimmer Tech 通过写入代码可以让汽车增加一些新的功能，比如自动大灯、手机镜像、自适应巡航控制等，甚至还能帮助车主删除部分不想要的应用程序6。Ransom EXX 勒索组织在暗网上发贴，声称成功入侵了意大利知名汽车制造商法拉利并窃取了 6.99GB 的内部文件，其中包括内部文档，数