奇安信：2026年智能网联汽车云平台漏洞分析报告

摘要 漏洞问题普遍且严重：2025年，奇安信代码安全实验室奇车安全团队对30家汽车厂商的云平台进行了漏洞分析，其中28家云平台发现了漏洞，漏洞检出率93.3%，所有云平台总共发现207个漏洞，其中超危和高危漏洞共计66个，占比31.9%。 高危漏洞存在极高风险：在分析的30家汽车厂商云平台中，有23家云平台发现了超危或高危漏洞，占比高达76.7%。通过验证发现，这些超危和高危漏洞可造成远程解锁车辆、近场解锁车辆、未授权驾驶车辆、敏感信息泄露等严重危害，整体风险极高。 低级错误反映出整体安全水平极低：在总共发现的207个漏洞中，有135个是因身份未检验、接口未鉴权等低级错误而导致，占比高达65.2%。反映出行业整体软件安全水平极低，亟须夯实基础。 漏洞风险复杂严峻，危害覆盖多个层面：超七成汽车厂商云平台存在身份认证和访问控制类漏洞，半数汽车厂商云平台存在过度数据暴露漏洞，三成汽车厂商云平台存在数字钥匙管理失效漏洞；超七成汽车厂商云平台存在敏感信息泄露，数据安全风险突出；2/3厂商的汽车可利用漏洞在未授权情况下解锁，直接危害车辆财产安全；四成汽车厂商云平台存在用户账户被冒用进行未授权操作的安全风险。 目录 一、概述................................................1 二、漏洞总体状况分析....................................1 1、超七成汽车厂商云平台存在超危/高危漏洞，直接危害汽车安全，风险极高.......12、超六成漏洞因低级错误导致，整体安全水平极低，亟须夯实基础.........................2 三、主要漏洞类型分析....................................3 1、超七成汽车厂商云平台存在身份认证和访问控制类漏洞.........................................32、半数汽车厂商云平台存在过度数据暴露漏洞.............................................................73、三成汽车厂商云平台存在数字钥匙管理失效漏洞.....................................................9 四、主要漏洞危害分析...................................10 1、超七成汽车厂商云平台存在敏感信息泄露，数据安全风险突出..........................112、2/3厂商的汽车可利用漏洞在未授权情况下解锁，直接危害车辆财产安全........123、四成汽车厂商云平台存在用户账户被冒用进行未授权操作的安全风险...............13 附录：奇安信代码安全实验室简介..........................17 一、概述 随着汽车智能化、网联化的快速发展，智能网联汽车云平台已成为智能网联汽车生态的核心数字基础设施。智能网联汽车云平台的主要功能涵盖数据采集治理、车辆全周期集中管理、实时状态监控、AI算法迭代训练、车路云协同决策等，是连接车端、路端、用户与外部生态的数字化枢纽，其安全性是智能网联汽车安全的重中之重。 2025年，奇安信代码安全实验室奇车安全团队对30家主流汽车厂商的云平台进行了漏洞分析，并在真实车辆上进行了验证，基于对漏洞分析和验证数据的统计分析，最终形成本报告。报告主要包括智能网联汽车云平台漏洞总体状况分析、主要漏洞类型分析、主要漏洞危害分析、总结及建议等内容，希望可以为相关机构和厂商开展相关研究和实践工作提供有益的参考。 二、漏洞总体状况分析 在分析的30家汽车厂商云平台中，有28家云平台发现了漏洞，漏洞检出率93.3%，所有云平台总共发现207个漏洞，其中超危和高危漏洞共计66个，占比31.9%。 1、超七成汽车厂商云平台存在超危/高危漏洞，直接危害汽车安全，风险极高 在分析的30家汽车厂商云平台中，有23家云平台发现了超危或 高危漏洞，占比高达76.7%。通过验证发现，这些超危和高危漏洞可造成远程解锁车辆、近场解锁车辆、未授权驾驶车辆、敏感信息泄露等严重危害，整体风险极高。 发现超危/高危漏洞最多的云平台发现了9个超危/高危漏洞，超危/高危漏洞数量排名前5位的云平台如下表所示。 2、超六成漏洞因低级错误导致，整体安全水平极低，亟须夯实基础 在总共发现的207个漏洞中，有135个是因身份未检验、接口未鉴权等低级错误而导致，占比高达65.2%。在分析的30家汽车厂商云平台中，有19家存在因此类低级错误而导致的漏洞，占比高达63.3%，其中12家存在因此类低级错误而导致的超危或高危级别漏洞，占比高达40.0%。 从分析结果来看，因此类低级错误导致的漏洞占比很高，并且是大多数汽车厂商云平台都普遍存在的问题，反映出当前汽车厂商云平台的整体软件安全水平极低，亟须夯实安全基础。 三、主要漏洞类型分析 在总共发现的207个漏洞中，主要包括失效的访问控制、过度数据暴露、身份认证失效、会话管理失效、数字钥匙管理失效、命令注入、跨站脚本、业务逻辑漏洞等8种类型，其中数量较多的漏洞类型包括失效的访问控制、过度数据暴露、身份认证失效、会话管理失效、数字钥匙管理失效等5类。5类数量较多的漏洞所影响的智能网联汽车云平台的数量及占比情况如下表所示。 1、超七成汽车厂商云平台存在身份认证和访问控制类漏洞 在分析的30家汽车厂商云平台中，有18家存在“失效的访问控制”漏洞，占比60.0%，有13家存在“身份认证失效”漏洞，占比43.3%。身份认证和访问控制作为网络信息安全的两大基石，二者紧密关联，共同构筑了系统的安全底座。考虑其内在的强关联性，我们将“失效的访问控制”和“身份认证失效”两类漏洞进行了合并统计，发现两类漏洞共计影响了22家汽车厂商云平台，占比高达73.3%。 身份认证和访问控制类漏洞属于基础性漏洞，是软件安全开发管理流程中的核心必查项，此两类漏洞的大面积存在，绝不仅仅是个别开发人员的疏忽导致，而是源自系统性的流程和管理缺陷。这表明当前大多数汽车厂商在其云平台的开发中，没有建立基本的软件安全开发管理流程，安全架构设计缺位，安全编码规范缺失，代码审计和渗透测试严重不足。 失效的访问控制（Broken Access Control） 失效的访问控制是指应用程序未能实现预期的用户权限控制，即未能对用户的功能权限、数据权限或操作权限进行严格的校验。这使得攻击者能够通过修改请求参数、遍历URL或重放数据包等方式，绕过访问限制，访问未授权的资源或执行未授权的操作。 本报告中发现的失效的访问控制类漏洞主要包括：未授权访问、越权访问。 ①未授权访问 定义：绕过登录或权限检查，直接访问敏感资源。 场景示例：攻击者在未登录状态下，直接访问API接口或后台管理页面，系统未进行拦截，导致敏感数据泄露、系统控制权丢失和业务功能滥用等危害（如API接口未鉴权）。 ②越权访问 定义：系统未能正确校验用户是否具备执行某项操作或访问某个资源的权限，导致用户可以操作或访问超出其权限范围的功能或 数据。 场景示例： 水平越权：相同权限级别的用户之间互相越权。例如，普通用户A通过修改请求中的ID参数（如将user_id=1001改为user_id=1002），查看或修改普通用户B的私有数据（如查看其姓名、手机号、地址）。 垂直越权：低权限用户向高权限用户越权。例如，普通用户通过直接访问管理员接口（如/admin/deleteUser）或修改角色参数（如role=user改为role=admin），执行管理员才能执行的操作（如删除数据、修改配置）。 身份认证失效（Authentication Failures） 身份认证失效是指系统在验证用户身份的核心环节存在逻辑或技术缺陷，导致攻击者能够伪造凭证、绕过校验或暴力破解，从而非法获取系统访问权限。 本报告中发现的身份认证失效类漏洞主要包括：身份认证绕过、验证码机制失效、账号枚举、弱口令与默认凭证。 ①身份认证绕过 定义：攻击者利用系统逻辑缺陷，无需提供有效凭证即可直接访问受保护资源。 场景示例：通过修改数据包参数（如将is_verified=0改为1）、删除关键校验字段，或利用前端JavaScript校验的漏洞，直接跳 过登录/验证步骤进入系统后台。 ②验证码机制失效 定义：用于区分人机的验证码防线被突破，例如验证码校验接口缺少安全控制（如访问间隔、访问次数限制），或合法验证码使用后未能及时进行失效化处理等，导致自动化脚本可以无限次尝试。 场景示例： 验证码爆破：验证码位数过短（如4位纯数字）或复杂度不足，攻击者通过自动化脚本穷举遍历所有可能的验证码组合，获取到正确验证码。验证码重放：同一个验证码在使用后未立即失效，可被重复利用多次，攻击者利用此特性配合字典攻击，无限次尝试登录。 ③账号枚举 定义：由于身份认证机制在处理不存在的用户与存在的用户时，返回了不同的错误信息，或者由于用户标识符（UID）采用了可预测的生成规则，导致攻击者可通过自动化手段探测并收集系统中有效的账号列表。 场景示例： 攻击者在登录页面输入一个不存在的账号，系统提示“用户名不存在”，输入一个存在的账号但密码错误，系统提示“密码错误”。 系统用户的UID是自增的或者有固定规律。 ④弱口令与默认凭证 定义：系统允许使用极易被猜测的密码，或沿用出厂默认账号密码。 场景示例：用户使用123456、admin等常见弱密码，或设备使用厂商预设的默认超级管理员账号。攻击者利用公开的字典进行批量匹配，成功率极高。 2、半数汽车厂商云平台存在过度数据暴露漏洞 在分析的30家汽车厂商的云平台中，有15家存在过度数据暴露漏洞，占比高达50.0%。过度数据暴露漏洞是一种常见的API漏洞，具有一定的隐蔽性，是造成敏感信息泄露的重要源头。此类漏洞的大面积存在，表明很多汽车厂商在云平台的开发中，存在前后端职责划分不清的问题，后端没有做到严控数据权限，完全依赖于前端应用自行筛选展示所需数据，且在架构设计上没有充分考虑数据安全风险，缺乏必要的安全控制措施，缺失了数据安全防护层，从而导致将关键的数据安全责任，完全寄托于不可控的客户端环境，这违背了最基本的安全原则。 过度数据暴露漏洞（Excessive Data Exposure） 过度数据暴露漏洞是指应用程序后端接口在响应客户端请求时，未遵循“数据最小化”原则，返回了超出当前业务功能所需范围的多余数据，将数据过滤的责任不安全的交给了前端应用，一旦 攻击者通过拦截通信或修改请求等方式直接访问接口，就可能导致大量敏感信息泄露，造成巨大的数据安全风险。 本报告中发现的过度数据暴露类漏洞主要包括：接口响应数据冗余、调试信息与内部结构泄露。 ①接口响应数据冗余 定义：后端接口在返回数据时，包含了大量与当前业务逻辑无关的字段或关联信息。 场景示例： 查询车辆状态时，接口返回了车主手机号、VIN码、车辆位置等敏感信息。查询用户昵称和头像时，接口返回了完整的用户资料，包括注册时间、最后登录IP、账户余额、历史订单等。 ②调试信息与内部结构泄露 定义：系统在错误响应、日志文件或前端代码中，暴露了不应公开的技术细节。 场景示例： 错误页面返回详细的堆栈信息，暴露了使用的框架版本、数据库类型、内部类名与方法名。 前端JavaScript文件中包含未混淆的API路径、测试接口地址或硬编码的密钥片段。 HTTP响应头中泄露服务器类型、中间件版本。 3、三成汽车厂商云平台存在数字钥匙管理失效漏洞 当前智能网联汽车普遍采用数字钥匙，如蓝牙、UWB、NFC、星闪等。据统计，2025年1-8月中国市场乘用车标配数字钥匙的交付量达到788.5万套，搭载率超过54%