01

引 言

數(shù)字鑰匙正在以前所未有的速度普及。數(shù)據(jù)顯示，2024年中國乘用車數(shù)字鑰匙裝配量同比增長58.7%，裝配率達(dá)47.5%，預(yù)計到2030年將攀升至80.8%。然而，在享受便捷的同時，很少有人意識到——這枚裝在手機(jī)里的“車鑰匙”，正在成為網(wǎng)絡(luò)攻擊和車輛盜竊的新入口。

公安部發(fā)布的2025年全國機(jī)動車盜竊案件統(tǒng)計數(shù)據(jù)揭示了一個值得警惕的變化：傳統(tǒng)的暴力撬鎖、破解機(jī)械鎖案件占比持續(xù)下降，而利用數(shù)字鑰匙漏洞、網(wǎng)絡(luò)攻擊手段實施的車輛盜竊案件，較前一年上漲了127%。2025年全球智能汽車生態(tài)系統(tǒng)公開報告的網(wǎng)絡(luò)安全攻擊事件多達(dá)494起，這很可能只是實際事件的冰山一角。

本文將系統(tǒng)剖析汽車數(shù)字鑰匙面臨的安全風(fēng)險，結(jié)合實際滲透測試案例與行業(yè)標(biāo)準(zhǔn)動態(tài)，幫助讀者建立對這一新興安全領(lǐng)域的全面認(rèn)知。

02

數(shù)字鑰匙是什么？

從遙控到手機(jī)的技術(shù)演進(jìn)

汽車數(shù)字鑰匙，簡單來說是將傳統(tǒng)的物理車鑰匙功能集成到智能手機(jī)、智能手表等移動設(shè)備中，通過NFC（近場通信）、藍(lán)牙低功耗（BLE）或UWB（超寬帶）等無線通信技術(shù)，實現(xiàn)車輛的解鎖、鎖定和啟動。

從技術(shù)演進(jìn)來看，CCC（Car Connectivity Consortium，汽車連接聯(lián)盟）數(shù)字鑰匙標(biāo)準(zhǔn)已經(jīng)歷多次迭代。數(shù)字鑰匙3.0（2021年發(fā)布）引入了BLE和UWB技術(shù)，實現(xiàn)了安全的免持解鎖功能；數(shù)字鑰匙4.0（2025年發(fā)布）則在三大協(xié)議基礎(chǔ)上，重點(diǎn)聚焦跨設(shè)備互操作性。CCC聯(lián)盟現(xiàn)有200余家成員公司，包括蘋果、小米、寶馬、谷歌、大眾等行業(yè)巨頭，其中25%的會員來自中國。

當(dāng)前CCC數(shù)字鑰匙認(rèn)證計劃已覆蓋NFC、BLE和UWB三項互補(bǔ)技術(shù)，確保數(shù)字鑰匙解決方案在互操作性、安全性和功能性方面達(dá)到最高標(biāo)準(zhǔn)。2025年，CCC認(rèn)證計劃進(jìn)一步升級，將BLE和UWB正式納入認(rèn)證范圍，新增遠(yuǎn)程訪問、無感進(jìn)入和無感啟動等關(guān)鍵功能。

03

數(shù)字鑰匙面臨的主要安全風(fēng)險

盡管數(shù)字鑰匙技術(shù)不斷演進(jìn)，但安全風(fēng)險始終如影隨形。根據(jù)奇安信等安全廠商2025年報告的漏洞數(shù)據(jù)，數(shù)字鑰匙相關(guān)的安全漏洞主要包括失效的訪問控制、過度數(shù)據(jù)暴露、身份認(rèn)證失效、數(shù)字鑰匙管理失效等多種類型，可導(dǎo)致未授權(quán)定位車輛位置、未授權(quán)解鎖和啟動車輛、敏感信息泄露等嚴(yán)重危害。

以下是最主要的幾種攻擊手法：

1. 中繼攻擊（Relay Attack）——最普遍的威脅

中繼攻擊是目前最高發(fā)的數(shù)字鑰匙攻擊手段，也叫信號放大攻擊。攻擊原理并不復(fù)雜：只需兩個中繼設(shè)備，一個靠近車主手機(jī)或鑰匙的位置接收信號，另一個放在車輛附近將信號放大并轉(zhuǎn)發(fā)給車輛。這就相當(dāng)于給鑰匙信號搭了一座無形的橋，車輛誤以為鑰匙就在身邊，從而自動解鎖并啟動。

整個過程不需要破解任何加密，不需要接觸手機(jī)或鑰匙，只需要放大信號，就能騙過車輛的認(rèn)證系統(tǒng)，十幾秒即可完成盜竊。2025年，杭州、深圳、上海等多個城市都發(fā)生過類似案件。更令人警惕的是，中繼攻擊設(shè)備在非法渠道中很容易買到，價格從幾百到幾千元不等，門檻極低。

目前單純依靠藍(lán)牙RSSI（信號強(qiáng)度指示）判斷距離的數(shù)字鑰匙，對中繼攻擊幾乎不設(shè)防。而UWB技術(shù)因其基于飛行時間（ToF）的精確測距能力，能夠有效抵御中繼攻擊。UWB不靠信號強(qiáng)度判斷距離，而是精確測量無線電信號在手機(jī)與車輛之間的往返時間，中繼轉(zhuǎn)發(fā)會因電路延遲而被識破。

2. 重放攻擊（Replay Attack）——固定代碼之殤

重放攻擊是指攻擊者截獲并記錄鑰匙發(fā)出的合法信號后，在稍后時間重放該信號以解鎖車輛。這一攻擊之所以可行，根源在于部分廠商仍在使用過時的固定學(xué)習(xí)代碼技術(shù)，而非滾動代碼技術(shù)。

獨(dú)立安全研究員Danilo Erazo發(fā)現(xiàn)的CVE-2025-6029漏洞（CVSS評分9.4）就是一個典型案例。該漏洞影響了2022年至2025年起亞在厄瓜多爾市場的Soluto、Rio和Picanto等車型，這些車輛配備了帶有HS2240和EV1527芯片的售后市場密鑰卡，使用固定學(xué)習(xí)代碼而非滾動代碼。攻擊者可通過捕獲信號并重放的方式解鎖車輛，甚至能通過注入新的學(xué)習(xí)代碼獲得永久性未授權(quán)訪問。

3. 遠(yuǎn)程控車賬號被盜——最隱蔽的威脅

比中繼攻擊更隱蔽的，是數(shù)字鑰匙對應(yīng)的遠(yuǎn)程控車賬號被盜?，F(xiàn)在的數(shù)字鑰匙幾乎都綁定在車企官方APP上，APP賬號一旦泄露，相當(dāng)于將車鑰匙親手交給了別人。

很多車主設(shè)置的是簡單的弱密碼，甚至與其他平臺密碼完全相同，一旦其他平臺發(fā)生數(shù)據(jù)泄露，控車賬號便隨之暴露。2025年，有安全研究團(tuán)隊發(fā)現(xiàn)，攻擊者可組合利用某汽車廠商云平臺的多個漏洞，形成完整攻擊鏈：先批量獲取車主姓名、手機(jī)號和車輛VIN碼，再通過VIN碼定位車輛實時位置，進(jìn)而遠(yuǎn)程解鎖并啟動車輛。

特斯拉也曾發(fā)生過類似的第三方API Token泄露事件。一名特斯拉Model Y車主的Tessie APP API Token遭泄露，攻擊者遠(yuǎn)程解鎖車輛，三分鐘后便闖入車內(nèi)實施盜竊。API Token的安全性遠(yuǎn)低于APP本身的認(rèn)證機(jī)制，這一案例暴露出第三方生態(tài)集成中的安全盲區(qū)。

4. 二手車權(quán)限殘留——被忽視的法律風(fēng)險

2025年深圳發(fā)生的一起案件發(fā)人深?。阂幻凶永枚周嚱灰字性囍鬟h(yuǎn)程控制權(quán)限未清理的漏洞，偷回已抵債的車輛，甚至在高速公路上惡意遙控熄火，最終因盜竊罪和危害公共安全罪獲刑四年。這一案例表明，數(shù)字鑰匙權(quán)限的生命周期管理不僅是技術(shù)問題，更涉及嚴(yán)重的法律風(fēng)險。

04

數(shù)字鑰匙滲透測試方法論與實踐

滲透測試是發(fā)現(xiàn)和驗證數(shù)字鑰匙安全漏洞的重要手段。以下從方法論和典型案例兩個維度展開。

1. 滲透測試方法框架

針對數(shù)字鑰匙系統(tǒng)的滲透測試，通常采用多層次、多維度的測試方法：

信號層測試：使用SDR（軟件定義無線電）設(shè)備（如HackRF、RTL-SDR）捕獲數(shù)字鑰匙與車輛之間的無線通信信號，分析協(xié)議的加密強(qiáng)度、認(rèn)證機(jī)制和抗重放能力。

藍(lán)牙/NFC協(xié)議測試：使用專業(yè)藍(lán)牙嗅探工具（如Ubertooth、Nordic Sniffer）或NFC讀寫設(shè)備，測試配對過程的安全性、加密通信的完整性以及信號距離判斷的邏輯是否存在漏洞。

云端API測試：對車企APP和服務(wù)端API進(jìn)行滲透測試，包括身份認(rèn)證繞過、越權(quán)訪問、注入攻擊等常規(guī)Web安全測試方法。

硬件安全測試：對車輛端控制器和移動設(shè)備端的密鑰存儲進(jìn)行硬件安全分析，測試安全元件的防護(hù)能力和密鑰提取難度。

2. 典型滲透測試案例

案例一：起亞厄瓜多爾無鑰匙進(jìn)入系統(tǒng)滲透（CVE-2025-6029）

研究員Danilo Erazo開發(fā)了名為AutoRFKiller的Python工具，基于GNU Radio和HackRF SDR執(zhí)行信號捕獲、暴力破解和Rolljam攻擊。該工具的工作流程為：捕獲遙控鑰匙的射頻信號→重放信號解鎖車輛→通過注入新的學(xué)習(xí)代碼獲得永久性未授權(quán)訪問。這一案例的關(guān)鍵發(fā)現(xiàn)是：攻擊所需的全部工具均為開源軟件和市面上可購買到的硬件，滲透門檻極低。

案例二：滾動碼破解（Flipper Zero固件攻擊）

2025年出現(xiàn)針對Flipper Zero設(shè)備的新型定制固件，能夠繞過大多數(shù)現(xiàn)代汽車采用的滾動碼安全系統(tǒng)，可能導(dǎo)致數(shù)百萬輛汽車面臨被盜風(fēng)險。該攻擊的顯著特征是原裝鑰匙扣會立即與車輛失去同步并失效，這往往是車主察覺安全漏洞的首個跡象。

05

標(biāo)準(zhǔn)演進(jìn)與安全防護(hù)體系

面對日益嚴(yán)峻的安全挑戰(zhàn)，國際國內(nèi)標(biāo)準(zhǔn)體系正在快速更新。

1. 國際標(biāo)準(zhǔn)：UNECE R116

聯(lián)合國歐洲經(jīng)濟(jì)委員會（UNECE）發(fā)布的R116《關(guān)于機(jī)動車輛防盜保護(hù)的統(tǒng)一技術(shù)規(guī)定》，為數(shù)字鑰匙安全防護(hù)制定了系統(tǒng)性規(guī)則。R116要求數(shù)字鑰匙僅能通過授權(quán)流程傳輸，需通過匹配認(rèn)證，明確要求符合UNECE R155網(wǎng)絡(luò)安全法規(guī)，將防攻擊要求納入整車網(wǎng)絡(luò)安全體系。

2. 國內(nèi)標(biāo)準(zhǔn)：GB 15740-2024

我國在2024年9月29日發(fā)布的GB 15740-2024《汽車防盜裝置》，將于2026年1月1日正式實施。該標(biāo)準(zhǔn)明確了數(shù)字鑰匙需具備防重放攻擊措施（條款4.9 c），要求數(shù)字鑰匙與物理載體綁定并與車輛防盜裝置完成匹配認(rèn)證。在解鎖距離方面，標(biāo)準(zhǔn)設(shè)定了“6米安全半徑”，要求防盜裝置解鎖需檢測數(shù)字鑰匙在車內(nèi)或6米范圍內(nèi)。

兩部標(biāo)準(zhǔn)在身份認(rèn)證與綁定、網(wǎng)絡(luò)攻擊防護(hù)、解鎖距離限制等方面達(dá)成了高度共識，但在具體實施路徑上存在差異——UNECE R116明確引用R155標(biāo)準(zhǔn)，而GB 15740-2024僅提出“防止網(wǎng)絡(luò)攻擊”的總體要求，體現(xiàn)了國內(nèi)法規(guī)在靈活性方面的考量。

3. ISO/SAE 21434網(wǎng)絡(luò)安全工程標(biāo)準(zhǔn)

ISO/SAE 21434作為道路車輛網(wǎng)絡(luò)安全工程的全球性標(biāo)準(zhǔn)，要求汽車電子系統(tǒng)（包括數(shù)字鑰匙）具備風(fēng)險分析和安全防護(hù)能力，覆蓋從設(shè)計、開發(fā)到生產(chǎn)、運(yùn)維的全生命周期網(wǎng)絡(luò)安全風(fēng)險管理。

06

總 結(jié)

數(shù)字鑰匙正在重塑我們的用車體驗，但技術(shù)的便捷性不應(yīng)以犧牲安全為代價。從公安部統(tǒng)計的127%盜竊案件增長，到CVE-2025-6029等嚴(yán)重漏洞的曝光，數(shù)字鑰匙安全風(fēng)險絕非危言聳聽。在此背景下，上?？匕餐瞥隽藢楣I(yè)互聯(lián)網(wǎng)與網(wǎng)聯(lián)汽車場景設(shè)計的對外通信安全測試解決方案，并在此基礎(chǔ)上構(gòu)建了自動化智能模糊滲透測試工具SmartRocket TestSec。該工具深度融合模糊測試技術(shù)與仿真分析能力，能夠?qū)⒉煌ㄐ欧绞降陌踩珳y試能力統(tǒng)一納入同一技術(shù)框架之下。該工具針對藍(lán)牙協(xié)議支持不同協(xié)議的模糊測試、后門服務(wù)測試、拒絕服務(wù)攻擊、中間人攻擊、重放攻擊、協(xié)議漏洞測試等。

自動化智能模糊滲透測試工具

SmartRocket TestSec

參考文獻(xiàn)

[1] TorqueNews. My Tesla Model Y Was Remotely Unlocked By Thieves Who Compromised My Tessie API Token[EB/OL]. 2025-09-08.

[2] AutoBlog. Keyless Entry is a Car-Thief‘s Dream: Is Yours on the List?[EB/OL]. 2025-06-15.

[3] 安全客. CVE-2025-6029和CVE-2025-6030：重播攻擊暴露了KIA和Autoeastern智能無鑰匙進(jìn)入系統(tǒng)中的漏洞[EB/OL]. 2025-06-16.

[4] Gesteira-Mi?arro R, López G, Palacios R. Clonable key fobs: Analyzing and breaking RKE protocols[J]. International Journal of Information Security, 2025.

審核編輯 黃宇