2026-01-01 05:08:53 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文盘点了12月汽车网络安全十大事件，涵盖保时捷因系统故障致大规模瘫痪、大众与通用汽车等核心数据泄露、现代摩比斯网关漏洞等安全风险。同时提及欧盟将RED条例纳入CRA、工信部许可L3车型及两项强标延期实施的政策动态，反映了行业在合规与技术防护方面的最新进展与挑战。 综合评分： 84 文章分类： 车联网安全,数据泄露,政策法规,漏洞预警,安全大事件

cover_image

【谈思月度盘点】12月汽车网络安全产业事件金榜Top10

谈思实验室

2025年12月31日 17:41 上海

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

智能汽车遭远程锁死，俄罗斯数百辆保时捷出现大规模瘫痪

12月8日，俄罗斯境内数百辆Porsche汽车因原厂卫星安全系统故障陷入瘫痪。据经销商Rolf透露，自11月28日起，因车载Vehicle Tracking System(VTS)模块失去卫星连接，车辆错误触发防盗机制，导致发动机突然熄火或供油被切断。此次故障波及所有Porsche车型，不仅造成车辆“自锁”，还引发了对网联汽车安全性的担忧。目前，车主只能通过物理拆解、重置报警单元或手动禁用VTS模块来恢复车辆运行。该事件虽暂无证据指向恶意攻击，但深刻暴露了现代汽车高度依赖数字化控制的脆弱性：单一组件失效即可导致物理层面停摆，为车联网安全敲响了警钟。

欧盟拟废止RED网络安全授权条例2022/30，统一纳入《网络韧性法案CRA》

12月10日，欧盟委员会发布了一份委派法规草案，就一项旨在废除RED网络安全授权条例(EU) 2022/30的倡议展开讨论。

该法案计划自 2027年12月11日起正式废止RED网络安全《授权条例(EU) 2022/30》。此举旨在避免监管重叠，并为制造商提供更清晰、统一的网络安全合规路径。

大众印度经销商 250 万条核心数据遭窃取售卖

12月11日，客某黑产论坛出现一则重磅消息，一名黑客宣称成功攻破印度喜马偕尔邦大众曼迪官方经销商系统，窃取250万条核心数据并公开售卖。从黑客披露的样本来看，数据涵盖车主姓名、家庭住址、手机号等关键隐私信息，疑似源自经销商内部CRM客户管理系统。

事件曝光后，大众及涉事经销商始终保持沉默，Cybernews记者多方联系求证均无果。目前虽仅有8条数据样本可供核实，但一旦传闻坐实，这250万条信息将直接沦为黑产精准诈骗、身份冒用的工具，受影响用户遭遇财产损失的风险将大幅攀升。

工信部：许可两款L3级自动驾驶车型产品

12月15日，工业和信息化部许可两款L3级自动驾驶车型产品，一是长安牌SC7000AAARBEV型纯电动轿车，可以实现在交通拥堵环境下高速公路和城市快速路单车道内的自动驾驶功能（最高车速50km/h），目前该功能仅限在重庆市内环快速路、新内环快速路及渝都大道等路段开启。二是极狐牌BJ7001A61NBEV型纯电动轿车，可以实现高速公路和城市快速路单车道内的自动驾驶功能（最高车速80km/h），目前该功能仅限在北京市京台高速、机场北线高速及大兴机场高速等路段开启。

北美通用汽车经销商 DMS 数据泄露

12 月中旬，美国、加拿大共 12 家通用汽车（GM）授权经销商的经销商管理系统（DMS）遭不明黑客组织针对性入侵，攻击者窃取约120 万条客户核心数据后，在暗网论坛公开标价售卖。此次攻击聚焦经销商核心业务数据，未引发系统瘫痪，但直接威胁客户隐私安全与财产安全，是 2025 年底北美汽车行业典型的精准数据窃取事件。

汽车信息安全强标44495和44496“延期半年”实施

12月16日，工信部发布关于公开征求《汽车车门把手安全技术要求》等7项强制性国家标准（报批稿）、《电动汽车安全要求》强制性国家标准外文版（报批稿）意见的公示。

内容包括GB 44495-2024《汽车整车信息安全技术要求》强制性国家标准第1号修改单和GB 44496-2024《汽车软件升级通用技术要求》强制性国家标准第1号修改单。

今年9月24日，工信部官网发布GB 44495-2024《汽车整车信息安全技术要求》强制性国家标准第1号修改单（征求意见稿）和GB 44496-2024《汽车软件升级通用技术要求》强制性国家标准第1号修改单（征求意见稿）。

此次报批稿与之前的征求意见稿最大的不同，是又新增调整了一项内容：“对于新申请车辆型式批准的车型，自本文件实施之日起开始执行”修改为“对于新申请型式批准的车型，自本文件实施之日起第 7 个月开始执行”。

也就是将标准推迟了6个月再实施，预计标准将在2026年7月1日正式实施。

而已获得型式批准的在产车型，实施时间仍维持 2028 年 1 月 1 日不变，避免企业因短期内双重标准陷入生产混乱。

VicOne 披露车载外设 5 个零日漏洞

12月17日，汽车网络安全公司VicOne披露在 CarlinKit CPC200-CCPA 无线 CarPlay/Android Auto 适配器（4 个漏洞）和70mai A510智能行车记录仪（1 个漏洞）两款车载外设中发现5个零日漏洞（CVE-2025-2762 至 2766），涉及硬编码弱密码、认证绕过、固件签名缺失等类型，CVSS 评分多为高危（8.0 及以上），影响全球超8.5万台设备，攻击者可远程获取设备控制权、窃取行车视频与GPS数据，甚至以设备为跳板渗透车载网络，VicOne已通过ZDI向厂商通报漏洞，相关厂商已启动固件修复工作，用户需及时更新设备并采取关闭 WiFi 热点等临时防护措施。

汽车零部件巨头LKQ确认遭Oracle EBS攻击超9000人信息泄露

12月18日，汽车零部件巨头LKQ公司确认遭Oracle E-Business Suite（EBS）相关网络攻击影响。该公司是Cl0p勒索网站列出的首批受害者之一，此前未回应媒体询问，现向缅因州总检察长办公室证实超9000人个人信息（含独资供应商的雇主识别号、社保号等）泄露。LKQ于10月3日启动调查，12月1日完成分析，称除EBS环境外无其他系统受影响。黑客已放出据称从其EBS实例窃取的数TB文件。这是LKQ一年内第二次遇袭，去年加拿大业务单元曾因攻击中断。Cl0p网站现列超100家EBS攻击受害者，多数被泄露数据，包括Logitech、Canon等已确认受影响的企业。

现代摩比斯车联网网关漏洞预警

12月19日，韩国网络安全研究机构正式披露现代摩比斯第三代车联网网关存在严重安全漏洞，攻击者可利用此漏洞获得系统高权限并通过 CAN 总线控制车辆关键功能。现代摩比斯随即发布官方预警，确认影响全球超 150 万辆现代和起亚车型，并启动紧急 OTA 修复。

日产汽车确认因红帽服务器遭未授权访问导致数据泄露

12月23日，日产汽车公司公开确认，由于负责开发客户管理系统的第三方承包商管理的红帽（Red Hat）服务器遭到未授权访问，导致重大数据泄露事件。该事件导致日产福冈销售公司约21,000名客户的个人信息外泄。

日产表示将逐一通知受影响客户，并提供防护措施指导。目前没有证据表明泄露数据已被用于欺诈目的或在暗网出售。尽管如此，日产仍建议客户警惕可疑通信，包括欺诈电话或邮件。

该汽车制造商确认，红帽服务器环境中不存在超出已泄露数据集的其他客户数据，从而消除了同一基础设施引发额外泄露的担忧。针对该事件，日产汽车宣布将加强对承包商的监管，并全面提升运营中的信息安全协议。公司已向受影响客户及商业伙伴致歉。

谈思-汽车出海安全合规（欧洲）

交流群

谈思 AutoSec Europe 峰会旨在搭建一个能融汇全球视野与中国实践、连接技术前沿与落地应用的国际性专业平台，以助力中国汽车应对在出海过程中面临的网络与数据安全合规痛点。从前沿技术研讨、合规要点解析到经验交流，都将通过本平台为您提供持续支持。社群已超过200人，需邀请加入，如需入群，欢迎添加社群小助手微信taaslabs01。

谈思-SDV&AIDV技术出海

交流群

诚邀行业同仁加入谈思SDV&AIDV出海技术交流群，聚焦软件定义汽车、AI定义汽车、下一代EEA、智能座舱、智能驾驶、软件架构、域控制器开发、芯片技术、软件工具等核心议题，欢迎大家加群交流探讨~~社群已超过200人，需邀请加入，如需入群，欢迎添加社群小助手微信taaslabs01。

end

谈思汽车媒体门户

精品活动推荐

AutoSec系列沙龙

专业社群

部分入群专家来自：

新势力车企：

特斯拉、合众新能源-哪吒、理想、极氪、小米、宾理汽车、极越、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯……

外资传统主流车企代表:

大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚……

内资传统主流车企：

吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用……

全球领先一级供应商：

博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、赢彻科技、潍柴集团、地平线、紫光同芯、字节跳动、……

二级供应商(500+以上)：

Upstream、ETAS、BlackDuck、NXP、TUV、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信大捷安、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、加特兰微电子、浙江大学……

人员占比

公司类型占比

文章

不要错过哦，这可能是汽车网络安全产业最大的专属社区！

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全：TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些？

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言：关于构建完善汽车数据安全管理体系的建议

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：谈思实验室《【谈思月度盘点】12月汽车网络安全产业事件金榜Top10》