【谈思月度盘点】5-6月汽车网络安全产业事件金榜Top10

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

作为汽车网络安全产业发展的观察者、见证者及记录者，我们谈思将和同仁们一起为汽车网络安全落地献智献策，探讨智能汽车行业的新方向，共同拓展汽车网络安全产业新机遇！

2025年，我们继续为业内同仁们收集整理产业标志性事件、产业要闻、技术动态、最新监管政策、白皮书发布等，助力大家把控行业动态，关键信息一网打尽！

01

哪吒汽车APP、官网大面积瘫痪

5月5日，有车主反馈，此前哪吒汽车App及官网出现的App断网、官网无法正常访问等问题已妥善解决，目前均已恢复正常使用。值得注意的是，一位不愿具名的知情人士透露“此次哪吒汽车App出现断网等问题，主要是流量欠费，假期无人看管造成的。”

对此，哪吒汽车称此次App故障与流量欠费无关，“五一”假期技术部门人员一直在岗值班，不存在无人看管的情况。目前哪吒汽车初步断定该现象是系统故障，已经修复，同时还在继续排查，防止再次出现类似问题。

此前，在五一节日期间，从部分车主发布的哪吒汽车App截图来看，有的车主无法登录App，页面显示“HTTP 502 Bad Gateway”的错误提示；有的车主虽能打开App，但汽车定位无法更新，充电提示和续航里程等信息也无法查看。实际上，早在今年1月和4月就已经出现过类似情况。

02

大众汽车应用程序再曝重大安全漏洞，泄露车主敏感信息

网络安全研究人员Vishal Bhaskar在大众汽车的互联车应用程序中发现了严重安全漏洞，这些漏洞导致全球车主的敏感个人信息和完整服务历史记录被暴露。这些缺陷允许未授权用户仅凭通常可通过挡风玻璃看到的车辆识别号码（VIN）就能访问用户数据。这是大众汽车在6个月内遭遇的第二次重大网络安全事件。此前在2024年12月，该公司的云存储泄露事件已经危及了80万辆电动汽车的数据。

Bhaskar在2024年购买二手大众汽车后发现了这些漏洞。当他尝试将车辆连接到My Volkswagen应用程序时，一次性密码（OTP）被发送到前车主的手机上。后来的研究发现了三个关键安全漏洞：

• 内部凭证泄露：一个API端点以明文形式暴露了内部用户名、密码、令牌，甚至包括支付处理器和Salesforce等第三方服务的凭证；

• 通过VIN暴露个人详情：另一个端点泄露了客户资料，包括姓名、电话号码、电子邮件地址、邮政地址和与服务记录相关的注册详情；

• 完整服务历史可访问：第三个漏洞仅通过输入VIN就能暴露任何车辆的完整服务历史、客户投诉和客户满意度调查结果。

Bhaskar于2024年11月23日向大众汽车报告了这些漏洞。经过数月沟通，大众汽车于2025年5月6日确认所有漏洞已被修补。

03

工信部出手整顿隐藏式车门把手

5月8日，据工信部官网，根据标准化工作的总体安排，现将申请立项的《汽车车门把手安全技术要求》强制性国家标准制修订计划项目予以公示。起草单位包括，中国汽车技术研究中心有限公司、吉利汽车研究院（宁波）有限公司、北京车和家汽车科技有限公司等。

主要内容方面，项目建议书显示，《汽车车门把手安全技术要求》规定了汽车应急式车门内把手的安装要求、隐藏式车门内把手和应急式车门内把手的标志要求、电动式车门外把手的防夹要求与试验方法、车门外把手和车门内把手的强度要求与试验方法、电动式车门把手的动态试验要求与试验方法。该标准将填补对隐藏式车门内把手等规范不足的空白。

据悉，国外暂无与该标准相关标准。国内与汽车门把手相关的标准对门把手的耐久、强度、耐高低温、耐振动、耐腐蚀等进行了技术要求。但是随着电动式、隐藏式车门把手的应用，暂无标准对其布置、标志、安全功能、结构强度进行技术要求。

04

工信部推动L2级辅助驾驶强制国标制定

6月4日，全国标准信息公共服务平台公示了关于征求《智能网联汽车组合驾驶辅助系统安全要求》拟立项强制性国家标准项目意见的通知。这意味着，L2级辅助驾驶的强制性国标要来了。根据公示信息，该标准适用于装配了组合驾驶辅助系统的M和N类汽车，规定了组合驾驶辅助系统的通用技术要求，主要包括运动控制能力、驾驶员状态监测、驾驶员干预、系统探测能力、系统安全性要求、功能安全等方面，并规定相应的审核要求，明确典型工况的试验方法。

05

多家车企承诺支付账期不超过60天

6月10日晚-11日，广汽、一汽、东风、赛力斯、吉利、长安、比亚迪、奇瑞、小鹏、阿维塔、北汽、长城、小米、理想、上汽、蔚来、零跑等车企陆续表态，承诺“支付账期不超过60天”。

从多家企业发布的消息来看，此次账期调整并非偶然。今年3月17日，国务院总理李强签署国务院令，公布修订后的《保障中小企业款项支付条例》，自2025年6月1日起施行。《条例》第二章第九条规定，机关、事业单位从中小企业采购货物、工程、服务，应当自货物、工程、服务交付之日起30日内支付款项；合同另有约定的，从其约定，但付款期限最长不得超过60日。

对于车企在国家的号召和施压下做出“60天支付账期”的承诺，有不少声音关注的是，这一承诺如何落地，以及是否能够真正解决账期拖欠的难题。同济大学教授韩志玉公开表示：“只承诺60天账期还不够，还需要承诺整个验收-开票-支付过程的节点时间，即供应商能真真拿到货款的‘账期’时间。”

06

SinoTrack GPS设备存在严重安全漏洞，可被远程控制车辆

6月12日，美国网络安全和基础设施安全局(CISA)披露了SinoTrack GPS设备中的两个安全漏洞，这些漏洞可被黑客利用来控制连接车辆的某些远程功能，甚至追踪车辆位置。

CISA在公告中揭示，成功利用这些漏洞可允许攻击者通过常见的Web管理界面未经授权访问设备配置文件，从而对连接的车辆执行某些远程功能，如追踪车辆位置，以及在支持的情况下断开燃油泵电源。这些漏洞影响SinoTrack IoT PC平台的所有版本，其中一个是SinoTrack设备管理界面的弱身份验证源于使用默认密码和印在接收器上的标识符作为用户名，另一个用于Web管理界面身份验证的用户名（即标识符）是不超过10位的数字值。

攻击者可以通过物理访问或从公开网站（如eBay）上发布的设备图片中获取设备标识符。此外，攻击者还可以通过递增或递减已知标识符，或通过枚举随机数字序列来寻找潜在目标。

目前尚无修复这些漏洞的补丁。CISA建议用户尽快更改默认密码，并采取措施隐藏标。

07

奔驰车载系统大面积崩溃，导航、CarPlay功能失效

6月12日，多名奔驰用户反映奔驰系统疑似崩溃，车载大屏导航等功能无法正常使用，车载大屏显示“请插入带地图内容的数据载体以启用导航”字样。除了导航功能无法使用外，还有车主反映音乐和CarPlay等功能也存在问题。

有车主表示收到了奔驰的短信，称“由于Mercedes-me后台临时出现故障，导致导航、CARPLAY等多个功能出现无法使用，或类似导航无法显示或没有导航图标。我们奔驰厂家正在加急修复，给您带来不便，敬请谅解！预计今天中午可以恢复使用。”12日下午，记者询问奔驰客服，对方表示有部分车辆的数字化产品和服务功能受到影响，正在紧急排查和修复，但尚未得到何时修复的通知。

奔驰4S店一工作人员表示，应该是后台软件的问题，从早上到现在，好多客户都反映导航没法使用，厂家正在紧急处理中，还没有处理好。

08

起亚汽车无钥匙进入系统存在严重漏洞，数千辆车面临被盗风险

6月16日，独立硬件安全研究员Danilo Erazo发现，厄瓜多尔销售的起亚(KIA)汽车使用的售后无钥匙进入系统存在重大安全缺陷，影响2022年至2025年间的Soluto、Río和Picanto等多款热门车型。

研究显示，起亚厄瓜多尔采用了过时的"学习码"技术，而非自20世纪90年代中期以来广泛应用的行业标准"滚动码"系统。2022年和2023年初的车型使用HS2240芯片，而2024年和2025年的车型则采用EV1527芯片，两者都实现了学习码而非安全的滚动码。由于学习码系统允许攻击者对约一百万个可能的固定码进行暴力攻击，且每辆车可同时存储多达四个学习码，这大大增加了攻击成功的概率。更令人担忧的是，犯罪分子可以捕获合法钥匙发出的射频信号并重放它们来解锁车辆，因为这些代码是静态的，每次使用都不会改变。

尽管该漏洞已于2024年5月报告给起亚厄瓜多尔，但至今未采取任何补救措施。该案例现由非营利组织汽车安全研究组(ASRG)提供支持管理。研究人员强调，这一问题可能不仅限于厄瓜多尔，其他拉丁美洲国家也可能实施类似的易受攻击的钥匙系统。

09

共享汽车巨头Zoomcar遭黑客攻击，840万用户数据泄露

6月18日，印度共享汽车市场平台Zoomcar近日披露，该公司遭遇黑客攻击，导致至少840万用户的个人数据被非法访问，包括用户姓名、电话号码和车辆注册号码等信息。

根据Zoomcar向美国证券交易委员会(SEC)提交的文件显示，公司于6月9日发现其信息系统遭到未授权访问。事件曝光源于公司员工收到自称获取了公司数据的威胁行为者的外部通信。该公司声明中指出，目前"没有证据表明财务信息、明文密码或其他敏感标识符"在此次数据泄露中被泄露。作为应对措施，Zoomcar已在云端和内部网络实施了"额外的安全防护措施，加强了系统监控，并审查了访问控制"。此外，该公司正与第三方网络安全专家合作，并已通知相关监管和执法机构，全力配合调查。

成立于2013年的Zoomcar允许客户按月、周、日和小时租车，目前在印度、埃及、印度尼西亚和越南等99个城市运营，拥有超过25,000辆汽车和1000多万用户。截至目前，Zoomcar尚未公开表示是否已通知受影响的客户，以及是否掌握黑客的相关信息。

10

大众集团旗下斯堪尼亚遭网络攻击，保险理赔数据被盗后遭勒索

6月18日，瑞典汽车制造巨头斯堪尼亚(Scania)近日证实遭遇网络安全事件，威胁行为者利用被盗凭证入侵其金融服务系统，窃取了保险理赔文件。

斯堪尼亚是一家隶属于大众集团的重型卡车、客车，以及工业和船舶发动机制造商。上周末，威胁监控平台Hackmanac在黑客论坛上发现，一名自称"hensi"的攻击者公开兜售据称从"insurance.scania.com"窃取的数据，并声明这些信息仅面向单一买家独家交易。斯堪尼亚证实，攻击者于5月28日利用被信息窃取恶意软件盗取的外部IT合作伙伴凭证入侵了其系统，获取了用于保险目的的系统访问权限。保险理赔文档可能包含个人和敏感的财务或医疗数据，因此这一事件可能对受影响者产生重大影响。

入侵后，攻击者使用@proton.me电子邮件地址直接联系斯堪尼亚员工进行勒索，随后在黑客论坛上发布了被盗数据样本。受影响的应用程序目前已无法在线访问，相关调查已经启动。同时，斯堪尼亚表示已就此事件通知了隐私保护机构。