最近一份报告显示，82%针对汽车行业(包括消费汽车、制造商和经销商)的攻击是远程进行的。另外，一半的车辆盗窃案涉及无钥匙。汽车制造商、经销商和消费者在汽车网络安全方面发挥着作用。但随着行业继续采用互联技术，企业采取积极主动的网络安全方法将变得越来越重要。

说到汽车网络安全威胁，网络攻击者有无数种方法来窃取车辆和驾驶员信息，并导致车辆的功能出现问题。

1、无钥匙汽车盗窃

作为最突出的威胁之一，无钥匙汽车盗窃是汽车行业的重点关注。车主只需站在车旁就能锁上或打开车门，甚至不需要实物钥匙就能启动汽车。

启用无钥匙启动和无钥匙进入的汽车容易受到中间人攻击，这些攻击可能会拦截汽车和遥控钥匙本身之间的数据连接。网络攻击者利用这些系统通过欺骗组件，绕过身份验证协议，认为它们就在附近。从而攻击者可以在不触发任何警报的情况下启动车辆。

2、电动汽车充电桩使用

随着全球向环保技术过渡，电动汽车正变得越来越受欢迎。充电桩允许电动汽车车主在公共停车场、公园甚至自己的车库等方便的位置为车辆充电。

当在充电桩为电动汽车充电时，数据会在汽车、充电桩和拥有该设备的公司之间传输。该数据链提供了威胁参与者可以利用电动汽车充电站的多种方式。该数据链为网络攻击者利用提供了多种方式。恶意软件、欺诈、远程操作，甚至破坏充电桩都是破坏基础设施的例子。

3、信息娱乐系统攻击

现代汽车需要超过100亿行代码才能运行。大部分代码进入车辆的固件和软件，允许导航、USB、CarPlay、SOS 功能等。这些信息娱乐系统还为犯罪分子打开了通往汽车ECU的大门，危及生命并损害车辆。

制造商需要注意许多代码漏洞，目前，一些企业已经开始在代码编写过程中进行静态代码检测，及时发现并修复安全漏洞及代码缺陷。通过随着信息娱乐系统变得越来越复杂和精密，将有更多的漏洞被发现，代码检测已成为提高应用安全不可或缺的一种方式。

4、暴力网络攻击

影响汽车行业的另一种常见攻击类型是老式的暴力网络攻击。汽车行业中联网和自动化车辆和企业面临的许多威胁与常见的云安全威胁相似，但这并没有降低它们的破坏性。

暴力攻击目标是破解凭证。在汽车行业当凭证受到损害时，整个系统很容易成为复杂攻击的目标，最终可能导致固件故障、大规模数据泄漏和车辆盗窃。

5、网络钓鱼攻击

网络攻击者还会通过网络钓鱼等社会工程攻击来获取凭据，从而进入目标网络。攻击者通过电子邮件中放置的带有恶意代码的链接，引导接收者点击从而获得有效凭据。

6、受损的售后设备

保险加密狗、智能手机和其他第三方连接设备也对汽车行业构成网络安全威胁。这些售后市场设备直接连接到车辆系统，为黑客提供了另一种发动攻击的方式。

7、勒索软件

勒索软件是当今科技领域最普遍的威胁之一，汽车行业也不例外。勒索软件对原始设备制造商、消费者和经销商都是一个巨大的威胁。

威胁行为者可以窃取数据来换取赎金。这些攻击会影响IT系统和运营，并可能造成停机从而导致高昂的代价。

8、汽车供应链攻击

汽车工业利用一个复杂的供应链来采购用于制造新车、进行维修和提供服务的组件。这条供应链给行业带来了巨大的风险，因为每个连接的端点都可能是一个随时产生威胁的漏洞。

但供应链攻击也会影响到消费者。包含恶意代码的更新可以推送到联网的汽车上，网络攻击者可以破坏固件，恶意软件可以暂停供应商的运营。

网络安全应该是整个汽车生命周期的核心目标。但同样重要的是，汽车制造商要提高其网络安全专业知识，以监控道路上的联网和自动驾驶汽车。在2023年及以后，汽车制造行业除了需要遵守相关法律法规，遵从网络安全框架外，汽车制造商、销售商、消费者、供应商、修理工和所有业内人士在提高联网汽车的安全性方面发挥着至关重要的作用。

来源：

https://www.cybersecurity-insiders.com/the-top-8-cybersecurity-threats-facing-the-automotive-industry-heading-into-2023/