hero2024智能汽车网络安全威胁报告.pdf

智能汽车

网络安全威胁报告

FOREWORD

前言

随着UN/WP.29R155在2024的实施以及GB44495-2024《汽车整车信息安全技术要求》

强制性标准的发布，汽车网络安全各项合规要求正在帮助全球越来越多的车辆免于黑客入侵。

木卫四汽车安全情报中心持续跟踪100多个情报源以及通过自主研究，针对2024年对汽车

造成危害的172个安全事件及125个安全漏洞进行了分析，发现安全事件中三分之一来自于

直接对车企或整车进行的攻击，汽车安全漏洞则有超过一半是针对Tier1供应商产品的漏洞

挖掘。

随着智能化的普及，安全研究人员针对TSP平台和智能座舱的安全性分级及攻击依旧是汽车

安全的重点区域，黑客通过远程攻击，近场攻击及本地攻击方式，借助云端和车端的网

络控制车辆和获取大量用户数据。

在2023年的报告中我们预测针对充电设施的攻击会进一步增加，随着充电桩的全球普及化，

在报告中我们看到2024年针对充电设施的漏洞挖掘占比达到45%，出现了在单个固件中挖

掘出数个漏洞的现象。例如CVE-2024-8070暴露充电设施以明文形式存储敏感信息；

CVE-2024-5313则可能导致设备潜在的拒绝服务攻击；CVE-2024-23957该漏洞中包含一

个基于堆栈的缓冲区溢出问题。

公众关注的ADAS自动驾驶系统的安全漏洞比例有所降低，其原因为ADAS的安全

多数是原生的，从系统设计之初就把安全与功能进行了融合，另一方面ADAS在汽车零部

件中功能相对独立，黑客很难通过网络入侵到ADAS设备，针对ADAS的漏洞挖掘多数为

GANAI算法对抗性、Lidar的安全性这类方法研究中。

FOREWORD

2024年版汽车安全威胁报告的发布正值合规发布及生效的周期，合规的落地让车企对汽车

安全重视度进一步加强，暴露出的攻击事件较往年有所减少。需要注意的是针对汽车的攻击

手段正在从研究性向实用性转变，合规带来的必要性措施并不足以覆盖黑客多样的攻击手段。

您将从2024年的报告中了解到的细节和洞察包括：

连续3年汽车安全事件和漏洞的趋势分析

智能座舱、充电设施相关的几个典型安全案例的分析报告

生成式人工智能对汽车安全情报部门带来的价值

汽车安全指数在2024年的迭代，旨在进一步协助企业分析其在汽车网络安全上的投入所产

生的价值

我们正值生成式人工智能的高速发展时期，大模型的应用正在降低汽车安全研究的门槛，而

随着智能座舱、自动驾驶等功能的普及，车辆对网络依赖正在加强，这些趋势也正在推动汽

车安全研究和防御发生重大转变。

在木卫四，我们遵从通过创新的技术提供高可靠性和易于扩展的汽车网络安全解决方案和服

务，从端到云，从机器学习到LLM，随着技术创新到产品的应用，正在实现“为安

全出行保驾护航”这一使命。

2024为安全出行保驾护航

目录

概括1

情报来源3

汽车网络安全态势洞察4

典型网络安全事件深度剖析5

重大网络安全事件全程回顾5

典型汽车威胁案例聚焦分析6

CaseStudy1：车载信息娱乐系统漏洞分析6

CaseStudy2：本地升级漏洞分析7

CaseStudy3：电动汽车充电桩漏洞分析