部落格與觀點

在DEFCON 的一場公車遭到駭客攻擊的示範中，研究人員揭露攻擊者如何透過公車的公用Wi-Fi 進入並入侵關鍵系統，凸顯智慧運輸系統亟需更強大的車用資安防護。

在本篇部落格文章中，我們將介紹一種系統性的開源情報 (OSINT) 驅動方法，此方法與 Auto-ISAC 汽車威脅矩陣（ATM）相互映射對應，並且專為汽車威脅情報所設計。這種方法能協助資安研究人員與汽車製造商，繪製連網車輛不斷擴張的攻擊面。

在今年Black Hat USA 2025大會上，資安研究人員揭露了電動車充電器上的漏洞，這些漏洞可能導致充電電纜過熱並造成起火。他們的發現凸顯了加強安全防護措施的迫切需求。

在本篇部落格文章中我們深入分析了今年Pwn2Own Automotive漏洞發掘競賽中針對特斯拉壁掛式充電樁的漏洞鏈，並將其映射到汽車威脅矩陣中，並探討了其對汽車網路安全以及電動車供電設備 (EVSE) 產業的更廣泛影響。

一個最近揭露的 Linux 漏洞顯示，看似普通的錯誤，正逐漸開始影響軟體定義車輛（SDV）。我們解析 CVE-2025-6019、探討它對 Automotive Grade Linux（AGL）的影響，以及它對車載網路安全所代表的意義。

這是一篇針對車廠先進網路開發或是相關研究人員的實務實作指南。內容介紹如何深入研究先進車載網路的一種實用且經濟高效的方法，而這僅需使用一塊 STM32 板即可複製全尺寸抗干擾汽車微型網路 (RAMN) 的核心功能。這個實務實作指南中，我們將逐步介紹設定流程，讓車廠工程師和領域愛好者能夠使用最少的硬體來製作逼真可用來測試的汽車通訊系統的原型。

最近一起LockBit 勒索病毒集團的遭駭入侵事件，揭露了大量內部聊天紀錄，讓外界得以一窺該集團如何鎖定受害對象並進行勒索。其中，汽車公司以成為其主要攻擊焦點之一。我們將深入剖析此次資料外洩的關鍵發現，並提出務實的做法步驟，讓車廠面對LockBit 或類似的網路攻擊事件得以採取適當的防範措施。

一位研究人員成功解密車載資訊娛樂系統的 Android OTA 更新，進而獲取了專有程式碼的存取權。我們研究了他使用的方法，以及介紹這對現代車輛網路安全所代表的意義。

隨著 AI 助理成為車輛的標準配備，諸如提示注入（Prompt Injection）之類的新型風險也悄然浮現，透過看似無害的輸入悄悄地操控系統。我們將探討攻擊者如何在日常互動中利用這類「隱形指令」，以及為什麼從輸入層面保護 AI 系統對汽車安全非常重要。

我們分析了安全研究人員在 Pwn2Own Automotive 2024 上針對 Pioneer DMH-WT7600NEX 車載資訊娛樂系統(IVI)展示的三漏洞攻擊鏈。我們將其對應到汽車威脅矩陣(Automotive Threat Matrix)，並重點介紹了緩解類似漏洞的業界最佳實踐，期降低類似的攻擊風險。

隨著AI（人工智慧）、EV（電動車）、SDV（軟體定義車輛）重塑汽車產業，網路威脅也在同步發展。本文章根據 VicOne 2025 汽車網路安全報告，提供對產業威脅現況的深入見解，並概述汽車製造商應如何制定前瞻性策略，以保持領先地位。

安全研究人員發現 Subaru 影音資訊系統（IVI）管理面板存在漏洞，可能允許未經授權的存取，進而獲取個人資訊、GPS 記錄以及車輛控制權限。我們將探討這一發現，並強調汽車製造商在整個車輛生命週期內採取安全優先策略的重要性。