2025 年 8 月 27 日,資安公司 RunSafe Security 正式對外公布《2025 連網車輛資安安全指數》,這份報告聚焦智慧汽車與車聯網環境下的軟體漏洞與系統防護能力,並首次以量化方式評估不同製造商在資安防護上的成熟度,結果顯示各大車廠之間差異顯著,部分品牌在 OTA 更新、弱點修補與零組件管理上展現出較高水準,但也有車廠在防護能力上明顯不足,這份報告不僅對產業提出警告,也再次凸顯汽車資安與駕駛安全之間的直接關聯。
根據 RunSafe 的指數評比,許多車輛系統仍缺乏完整的即時漏洞通報與修補機制,部分品牌的車載系統在 OTA 更新時並未使用完整簽章驗證,導致潛在攻擊者可藉由偽造更新檔進行惡意植入,另外,車輛中的第三方軟體模組若缺乏版本控管,也可能成為駭客的突破口,報告中特別指出,隨著車輛數據越來越多地傳輸至雲端平台,若無加密或身分驗證機制,將使得車輛成為大型攻擊面的其中一環,這些弱點若不及時補強,可能在未來數年內引發規模化的資安事件。
車聯網的攻擊場景
智慧汽車的價值來自連網與數據,然而連網功能也意味著更多攻擊切口,從車內總線的 CAN Bus、藍牙模組、Wi-Fi 連線,到遠端診斷系統與娛樂平台,都可能成為駭客滲透的入口,曾有研究人員展示透過入侵娛樂系統就能逐步取得煞車與轉向控制的案例,這種跨模組的攻擊方式顯示,汽車不再是單純的機械產品,而是一個複雜的軟體與硬體融合平台,駭客若能突破單一防線,便可能對駕駛安全造成實質威脅,這些案例讓車聯網資安議題迅速從理論轉為產業迫切需求。
對產業的衝擊
對汽車製造商而言,資安能力不再只是附屬功能,而是與碰撞測試與安全認證同等重要的品牌承諾,若車廠被揭露存在重大漏洞,不僅會導致銷售下滑,更可能面臨監管單位的罰款或召回,供應鏈風險同樣嚴峻,因為汽車內部往往包含上百個零組件供應商,任何一個軟體模組或晶片韌體的漏洞,都可能成為攻擊跳板,這要求整個產業必須建立更緊密的資安協作,從 Tier 1、Tier 2 到最終組裝廠商,都要共同遵循資安標準與審計流程,否則單一環節的失守將拖垮整體生態。
未來趨勢與政策需求
RunSafe 的指數發布,正值各國監管機構逐步加強車輛資安要求之際,歐盟 UNECE 已要求自 2024 年起新型車款必須符合車輛資安管理系統(CSMS)的規範,美國與日本也在制定相關法規,這代表車廠若不積極導入資安治理,未來將可能失去市場準入資格,此外,產業還需要標準化的測試工具與跨國數據共享機制,讓漏洞能被快速揭露並修補,否則駭客有機會在不同市場重複利用同樣的漏洞進行攻擊,這將對全球汽車安全構成系統性風險。
RunSafe 的《2025 連網車輛資安安全指數》為汽車產業再次敲響警鐘,智慧汽車雖然代表未來交通的核心方向,但若資安防護無法與創新速度同步,便利性將被風險掩蓋,消費者的信任與駕駛安全也將遭到威脅,唯有建立完整的生命周期防護策略、供應鏈聯防機制與符合法規的治理體系,汽車產業才能在智慧化與數位化浪潮中穩健前行,這份報告不僅是一份評比,更是一個產業必須立即回應的行動號召。
📑 新聞來源
- PR Newswire — RunSafe Security Releases 2025 Connected Car Cyber Safety & Security Index
- RunSafe Security — Official Press Release