【谈思月度盘点】12月汽车网络安全产业事件金榜Top12

谈思实验室 2025-01-02 17:54

【应用手册】TI 全新MCU及C29内核的电动汽车应用方案 【TI资料】基于新型C29内核的MCU技术资料

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

欧洲理事会通过新法案加强网络安全

12月2日，通过两项关于网络安全的法案，旨在进一步加强欧盟抵御网络威胁的能力和网络团结合作。这两项法律分别为《网络团结法案》和《网络安全法案》修正案，属于欧盟网络安全立法“一揽子计划”的一部分。声明介绍，两项新法案经欧洲理事会主席和欧洲议会议长签署后，将于未来几周内在欧盟官方刊物上公布，并于公布20天后生效。

工信部成立人工智能标准化技术委员会

12月13日，工业和信息化部网站发布公告，决定成立部人工智能标准化技术委员会，编号为 MIIT/TC1，主要负责人工智能评估测试、运营运维、数据集、基础硬件、软件平台、大模型、应用成熟度、应用开发管理、人工智能风险等领域行业标准制修订工作。

大众和斯柯达曝12个组合漏洞，攻击者可在10米内无接触入侵

12月13日，网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞，这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。受影响的车型包括2022年生产的斯柯达Superb III（3V3）2.0 TDI，但这个问题可能也影响到使用类似车载娱乐系统的其他斯柯达和大众车型。PCAutomotive估计可能有超过140万辆车辆存在漏洞，如果考虑到售后市场组件，实际数字可能更高。

思科多款产品数据遭黑客泄露，高达 4.5TB

著名的情报经纪人（IntelBroker）于论坛时间12月16日晚上11：22（北京时间约12月17日7：22）发布消息称，其于2024年10月份无意间发现思科意外地打开了他们的DevHub实例，这使其获得了思科系统的4.5T数据（另有三人也得到了这个天赐良机）。涉及Cisco C9800-SW-iosxe-wlc.16.11.01、Cisco IOS XE & XR、Cisco ISE、Cisco SASE、Cisco Umbrella、Cisco Webex系列产品，相关数据共2.9G。并放出了整个数据的目录树，以表明其所述非假。

通过破解这些车牌，规避交通法规甚至逃避执法部门的监控

Reviver公司销售的数字车牌已在美国全境使用，但车主可以通过破解这些车牌，规避交通法规甚至逃避执法部门的监控。

12月17日，美国越来越多的州已经可以合法购买数字车牌，并在全国范围内使用。与传统金属车牌相比，数字车牌具有一些优势。例如，车主可以动态更改显示内容，个性化展示车牌信息，标记车辆被盗的状态等。

然而，最近一位安全研究员演示了这些车牌如何被黑客利用，执行更具威胁性的操作：随意更改车牌号码，以逃避交通罚单和过路费，甚至将罚单转嫁给他人。

网安标委就《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》公开征求意见

12月17日，为指导应用程序提供者、移动智能终端制造商和移动应用程序分发平台提供者开展未成年人模式的研发和应用，秘书处组织编制了《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》。根据《全国网络安全标准化技术委员会<网络安全标准实践指南>管理办法（暂行）》要求，秘书处现组织对《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》面向社会公开征求意见。

汽车密码应用强制性国标立项

12月17日，国家标准项目《汽车密码应用技术要求》强制性标准立项，由工业和信息化部提出，委托全国汽车标准化技术委员会智能网联汽车分会执行。主要起草单位中国汽车技术研究中心有限公司、国家密码管理局商用密码检测中心等。本标准适用于指导、规范汽车整车及零部件产品密码应用的设计、开发、测试验证。本标准规定了汽车密码技术安全要求，主要包括总体框架、通用要求、安全要求等。

特斯拉新车被曝出现大量自动驾驶电脑故障

12月20日，有消息称，大量特斯拉新车车主投诉自动驾驶电脑出现严重故障，包括车辆的主动安全功能、摄像头、导航以及电池续航里程估算等在内的多项功能无法正常工作，而且这一轮新车频发的故障问题已经在特斯拉的售后服务部门产生的堆积。

据Electrek称，过去几周以来已经收到数名特斯拉新车主的报告，称他们刚买的车没开多久（几十到几百英里）就出现电脑故障。

中美“数据脱钩”终成定局，美国司法部发布数据跨境传输最终规定

12月27日，美国司法部发布禁止敏感个人数据向部分国家跨境传输的最终规则（以下称“最终规则”）。此规则源于拜登政府今年2月发布的第14117号行政命令，以及根据该行政命令发布的2024 年 3 月 5 日拟议规则草案提前通知（ANPRM）和 2024 年 10 月 29 日拟议规则草案通知，经过征求意见与修订，最终成型，并将在其发布之日起90天后生效。美国此次规则针对中国（含港澳）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉等国，建立起全面的数据出境国家安全审查制度。该规则将由美国国家安全局执行，其外资审查处（FIRS）将负责日常工作，并与国土安全部及其他相关机构协调合作。这一制度的诞生，打破了美国长期秉持的“数据跨境自由流动”传统，可以预见，此规则将对中美数据交流乃至全球数据格局产生重大深远影响。

大众汽车集团欧洲发生严重数据泄漏，80万车主可被定位

12月28日，软件公司 Cariad 的一项安全漏洞，导致约 80 万辆大众集团在欧洲销售的电动汽车的位置信息暴露在互联网上长达数月。根据当地时间 27 日发布的消息，一位举报人向德国《明镜》杂志及一个欧洲黑客组织透露了这一问题，泄露的数据将车主的位置信息与个人身份信息（如车主姓名）关联。

这一漏洞使得《明镜》能够极为精准地追踪两名德国政治人物的行踪。比如，一名德国国防委员会成员的行踪被定位在其父亲的养老院及德国军事基地，而一位市长的车则记录了她从市政厅到物理治疗师处的移动轨迹。报道还揭露了关于大众、奥迪、西雅特和斯柯达等品牌的电动车数据，特别是关于大众 ID.3 和 ID.4 车主的详细信息。

《明镜》表示，它在亚马逊云存储上发现了多达数 TB 的数据，记录了约 46 万辆汽车的精确位置信息，这些数据能揭示出车主的日常生活轨迹。此外，报告中还包括了汉堡警察局的 35 辆电动车、其他政治人物、商界领袖以及一些与美国空军兰施泰因空军基地有关的司机的信息。

《武汉市智能网联汽车发展促进条例》自2025年3月1日起施行

2024年12月30日，武汉市人大常委会公布《武汉市智能网联汽车发展促进条例》，条例自2025年3月1日起施行。

条例适用于本市行政区域内智能网联汽车产业发展、技术创新、基础设施建设、推广应用、安全保障与服务保障等相关活动。