【谈思月度盘点】1月汽车网络安全产业事件金榜Top10

谈思实验室 2025-02-14 17:50 295浏览 0评论 0点赞

迈来芯新一代经济型热成像技术 工程师必看！一键掌控复杂射频环境的秘密武器

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

作为汽车网络安全产业发展的观察者、见证者及记录者，我们谈思将和同仁们一起为汽车网络安全落地献智献策，探讨智能汽车行业的新方向，共同拓展汽车网络安全产业新机遇！

2025年，我们继续为业内同仁们收集整理产业标志性事件、产业要闻、技术动态、最新监管政策、白皮书发布等，助力大家把控行业动态，关键信息一网打尽！

大众电动汽车因存在安全漏洞可致约80万辆电动汽车车主隐私数据被泄露

1月5日，由于数据泄露，大众集团的约80万辆电动汽车的敏感位置数据，在数月内一直暴露在未受保护的云服务器上。该漏洞影响到大众旗下汽车品牌的电动汽车，包括大众、奥迪、西雅特（Seat）和斯柯达等品牌。

特斯拉全自动驾驶系统故障频发，用户遭遇困境

1月6日，特斯拉全自动驾驶（Full Self-Driving, FSD）系统的计算机系统发生频繁故障，导致多位用户在使用过程中遇到严重问题，甚至出现了危险的驾驶状况。特斯拉的全自动驾驶功能是该公司最具创新性的技术之一，但近期的计算机故障问题引发了车主的广泛关注和投诉。

多位特斯拉车主表示，在使用全自动驾驶系统时，他们的车辆突然发生了系统崩溃，导致FSD功能无法正常工作。有些车主报告称，车辆在行驶过程中突然失去导航指令，或是自动刹车系统出现了误判，导致车辆在高速公路或城市道路上突然减速甚至停下。更严重的情况发生在高速公路上，特斯拉的全自动驾驶系统没有及时识别前方的障碍物，导致车主不得不手动介入，避免了可能的碰撞事故。

福特汽车公司确认其X账户遭黑客“短暂入侵”

1月12日，福特汽车公司近日确认，其X（前身为Twitter）账户在2024年12月30日被黑客“短暂入侵”，未经授权发布了一些表达亲巴勒斯坦和反以色列情绪的帖子。虽然这些帖子已被删除，但仍有用户对这些内容进行截图并分享。

福特在电子邮件声明中表示：“我们的X账户短暂被黑客入侵，之前的三条帖子并非福特授权或发布。我们正在调查此事，并对造成的任何混淆表示歉意。”

美国商务部发布禁令：禁止从中俄进口联网汽车软硬件

1月14日，据英媒报道，美国商务部发布一项管理规则，禁止销售或进口中国和俄罗斯的部分联网汽车软件和硬件。禁令主要针对中国和俄罗斯的车辆通信系统（VCS）硬件和软件以及自动驾驶系统（ADS）软件。软件禁令将从2027年的车型开始生效，硬件禁令从2030年的车型开始生效。

拜登签署行政命令加强国家网络安全

即将离任的美国总统拜登于1月16日签署了"加强和促进国家网络安全创新的行政命令"，旨在加强国家网络安全，并更容易追查试图破坏美国系统的外国对手和黑客组织。

该行政命令涵盖了一系列旨在应对不断演变的网络威胁并加强国家防御的举措：

要求制定政府技术承包商的最低网络安全标准，确保承包商证明符合特定的安全基准，从而减少联邦系统中的漏洞，堵塞威胁行为者经常利用的供应链漏洞。
扩大了之前指令下可采取的制裁范围，包括加大对勒索关键基础设施、医疗系统和其他基本服务的个人和实体的处罚，旨在增强对抗外国网络对手的国家能力。
量子计算和人工智能在这项行政命令中得到关注。联邦机构被指示采用能够抵御量子攻击计算能力的新密码学标准；要求开发人工智能驱动的工具，以自动化检测和响应整个政府网络中的漏洞。
要求到2027年1月4日，所有向美国政府提供物联网设备的供应商都必须符合规范并贴有美国网络信任标志。
为网络安全领域的人力资源开发提供资金，包括培训计划和与教育机构合作建立技术人才渠道，旨在解决日益严重的网络安全人才短缺问题，促进创新。

值得一提的是，1月20日（下周一）特朗普将正式就职，这项行政命令中引入的多少政策接下来能得以继续实施尚不清楚，尽管这些命令似乎没有明显的党派政治色彩。

美国联邦贸易委员会下令通用汽车停止收集和出售驾驶员数据

1月17日，美国联邦贸易委员会（FTC）正对通用汽车及其子公司OnStar非法收集和出售数百万辆汽车的精确地理位置和驾驶行为数据采取行动。根据FTC提出的一项和解方案，在未来五年内，这家汽车巨头将被禁止共享驾驶员的敏感数据，还必须改善数据处理的透明度，同时让用户对自己的信息拥有更多控制权。

FTC指控通用汽车在未经消费者明确同意的情况下，从数百万辆汽车收集每三秒一次的精确地理位置数据，以及驾驶数据(如制动、超速)。这些数据随后被出售给第三方，包括Verisk和LexisNexis等消费者报告机构，后又被雅各布斯工程公司购买，其报告影响了这些驾驶员的保险费率，甚至导致被拒绝承保。联邦贸易委员会还指出，通用汽车误导消费者，将OnStar的"智能驾驶员"功能显示为一种驾驶习惯自我评估工具，而非实际的数据收集机制。而通用汽车的隐私声明含糊不清，未能充分告知消费者他们的数据正被收集并出售给第三方。

尽管FTC没有就通用汽车之前的违规行为宣布罚款金额，但它建议如果违反规定，每次违规可处以高达51，744美元的民事罚款，并给予两家公司180天的合规期限。

特朗普推翻拜登人工智能行政命令

1月21日，美国新任总统唐纳德·特朗普在就职首日推翻了前总统乔·拜登于2023年10月30日签署的"关于人工智能安全、可靠和可信赖发展与使用的行政命令"。

该行政命令为联邦机构制定了一系列举措，旨在加强人工智能安全性、避免滥用、偏见和隐私违规等危害，并增强美国人工智能专业人才库。该命令还要求开发"双用基础模型"(包含数十亿参数的最强大模型)的开发者向联邦政府报告其计划、网络安全措施和红队测试结果。

尽管该行政命令为联邦机构制定相关政策、开发框架和发布报告设置了多项已过期的最后期限，但推翻该命令将终止对其目标的持续监测和报告要求，包括与双用基础模型相关的要求。

卡巴斯基披露梅赛德斯-奔驰MBUX娱乐系统十多个漏洞

1月21日，网络安全公司卡巴斯基披露了其在梅赛德斯-奔驰MBUX车载信息娱乐系统中发现的十多个漏洞的细节。

卡巴斯基基于一个中国团队2021年公布的研究结果发现，第一代MBUX的一些漏洞可被利用进行拒绝服务攻击，另一些可用于获取数据、命令注入和权限提升。卡巴斯基表示，他们证实了攻击者在物理接触目标车辆的情况下，可以利用部分漏洞禁用车载主机的防盗保护、对车辆进行调优以及解锁付费服务。这些攻击是通过USB或自定义UPC连接进行的。

这些漏洞被分配了2023年和2024年的CVE编号，但梅赛德斯-奔驰向媒体透露，他们早在2022年就已经知晓卡巴斯基的研究发现。此外，研究人员描述的主题需要现场物理接触车辆，并进入车内，还需要拆卸并打开车载主机。新版本的信息娱乐系统不受影响。"

中德日韩英等国共研，4项智能网联汽车国际标准立项！

1月23日，由中国联合德国、日本、韩国、英国等国共同研制的多项智能网联汽车国际标准提案在国际标准化组织（ISO）成功立项，包括车门开启预警系统试验方法（ISO 25354）、后方交通穿行提示系统试验方法（ISO 25355）、组合驾驶辅助系统试验方法（ISO PAS 11585-2）及自动驾驶场景自然语言描述方法（ISO PAS 34507）4项驾驶辅助或自动驾驶相关标准。

斯巴鲁汽车星链管理系统中存在严重安全漏洞可被攻击者利用进行远程监控

1月24日，一项安全研究发现，斯巴鲁汽车互联网系统存在严重漏洞，黑客可远程解锁并启动数百万辆斯巴鲁汽车。更令人不安的是，他们还能访问至少一年的车辆位置历史记录——而斯巴鲁员工仍可查阅这些数据。这一漏洞影响任何在美国、加拿大或日本安装了斯巴鲁Starlink数字功能的车辆。

独立安全研究员Curry和Shah发现斯巴鲁员工网站漏洞，允许他们劫持员工账号，不仅能重新分配车辆Starlink功能的控制权，包括远程解锁、鸣笛、启动引擎或定位；还能访问员工可查阅的所有车辆位置数据，包括每次发动机启动时的位置。黑客可能会针对某人实施跟踪或盗窃，查找目标车辆位置，随后解锁汽车，尽管想要真正驾驶并将汽车开走，还需要另外绕过一个安全机制。

Curry和Shah在2024年11月底向斯巴鲁报告了这一发现，斯巴鲁迅速修补了Starlink的安全漏洞。