01

引 言

數(shù)字鑰匙正在以前所未有的速度普及。數(shù)據(jù)顯示，2024年中國(guó)乘用車數(shù)字鑰匙裝配量同比增長(zhǎng)58.7%，裝配率達(dá)47.5%，預(yù)計(jì)到2030年將攀升至80.8%。然而，在享受便捷的同時(shí)，很少有人意識(shí)到——這枚裝在手機(jī)里的“車鑰匙”，正在成為網(wǎng)絡(luò)攻擊和車輛盜竊的新入口。

公安部發(fā)布的2025年全國(guó)機(jī)動(dòng)車盜竊案件統(tǒng)計(jì)數(shù)據(jù)揭示了一個(gè)值得警惕的變化：傳統(tǒng)的暴力撬鎖、破解機(jī)械鎖案件占比持續(xù)下降，而利用數(shù)字鑰匙漏洞、網(wǎng)絡(luò)攻擊手段實(shí)施的車輛盜竊案件，較前一年上漲了127%。2025年全球智能汽車生態(tài)系統(tǒng)公開(kāi)報(bào)告的網(wǎng)絡(luò)安全攻擊事件多達(dá)494起，這很可能只是實(shí)際事件的冰山一角。

本文將系統(tǒng)剖析汽車數(shù)字鑰匙面臨的安全風(fēng)險(xiǎn)，結(jié)合實(shí)際滲透測(cè)試案例與行業(yè)標(biāo)準(zhǔn)動(dòng)態(tài)，幫助讀者建立對(duì)這一新興安全領(lǐng)域的全面認(rèn)知。

02

數(shù)字鑰匙是什么？

從遙控到手機(jī)的技術(shù)演進(jìn)

汽車數(shù)字鑰匙，簡(jiǎn)單來(lái)說(shuō)是將傳統(tǒng)的物理車鑰匙功能集成到智能手機(jī)、智能手表等移動(dòng)設(shè)備中，通過(guò)NFC（近場(chǎng)通信）、藍(lán)牙低功耗（BLE）或UWB（超寬帶）等無(wú)線通信技術(shù)，實(shí)現(xiàn)車輛的解鎖、鎖定和啟動(dòng)。

從技術(shù)演進(jìn)來(lái)看，CCC（Car Connectivity Consortium，汽車連接聯(lián)盟）數(shù)字鑰匙標(biāo)準(zhǔn)已經(jīng)歷多次迭代。數(shù)字鑰匙3.0（2021年發(fā)布）引入了BLE和UWB技術(shù)，實(shí)現(xiàn)了安全的免持解鎖功能；數(shù)字鑰匙4.0（2025年發(fā)布）則在三大協(xié)議基礎(chǔ)上，重點(diǎn)聚焦跨設(shè)備互操作性。CCC聯(lián)盟現(xiàn)有200余家成員公司，包括蘋果、小米、寶馬、谷歌、大眾等行業(yè)巨頭，其中25%的會(huì)員來(lái)自中國(guó)。

當(dāng)前CCC數(shù)字鑰匙認(rèn)證計(jì)劃已覆蓋NFC、BLE和UWB三項(xiàng)互補(bǔ)技術(shù)，確保數(shù)字鑰匙解決方案在互操作性、安全性和功能性方面達(dá)到最高標(biāo)準(zhǔn)。2025年，CCC認(rèn)證計(jì)劃進(jìn)一步升級(jí)，將BLE和UWB正式納入認(rèn)證范圍，新增遠(yuǎn)程訪問(wèn)、無(wú)感進(jìn)入和無(wú)感啟動(dòng)等關(guān)鍵功能。

03

數(shù)字鑰匙面臨的主要安全風(fēng)險(xiǎn)

盡管數(shù)字鑰匙技術(shù)不斷演進(jìn)，但安全風(fēng)險(xiǎn)始終如影隨形。根據(jù)奇安信等安全廠商2025年報(bào)告的漏洞數(shù)據(jù)，數(shù)字鑰匙相關(guān)的安全漏洞主要包括失效的訪問(wèn)控制、過(guò)度數(shù)據(jù)暴露、身份認(rèn)證失效、數(shù)字鑰匙管理失效等多種類型，可導(dǎo)致未授權(quán)定位車輛位置、未授權(quán)解鎖和啟動(dòng)車輛、敏感信息泄露等嚴(yán)重危害。

以下是最主要的幾種攻擊手法：

1. 中繼攻擊（Relay Attack）——最普遍的威脅

中繼攻擊是目前最高發(fā)的數(shù)字鑰匙攻擊手段，也叫信號(hào)放大攻擊。攻擊原理并不復(fù)雜：只需兩個(gè)中繼設(shè)備，一個(gè)靠近車主手機(jī)或鑰匙的位置接收信號(hào)，另一個(gè)放在車輛附近將信號(hào)放大并轉(zhuǎn)發(fā)給車輛。這就相當(dāng)于給鑰匙信號(hào)搭了一座無(wú)形的橋，車輛誤以為鑰匙就在身邊，從而自動(dòng)解鎖并啟動(dòng)。

整個(gè)過(guò)程不需要破解任何加密，不需要接觸手機(jī)或鑰匙，只需要放大信號(hào)，就能騙過(guò)車輛的認(rèn)證系統(tǒng)，十幾秒即可完成盜竊。2025年，杭州、深圳、上海等多個(gè)城市都發(fā)生過(guò)類似案件。更令人警惕的是，中繼攻擊設(shè)備在非法渠道中很容易買到，價(jià)格從幾百到幾千元不等，門檻極低。

目前單純依靠藍(lán)牙RSSI（信號(hào)強(qiáng)度指示）判斷距離的數(shù)字鑰匙，對(duì)中繼攻擊幾乎不設(shè)防。而UWB技術(shù)因其基于飛行時(shí)間（ToF）的精確測(cè)距能力，能夠有效抵御中繼攻擊。UWB不靠信號(hào)強(qiáng)度判斷距離，而是精確測(cè)量無(wú)線電信號(hào)在手機(jī)與車輛之間的往返時(shí)間，中繼轉(zhuǎn)發(fā)會(huì)因電路延遲而被識(shí)破。

2. 重放攻擊（Replay Attack）——固定代碼之殤

重放攻擊是指攻擊者截獲并記錄鑰匙發(fā)出的合法信號(hào)后，在稍后時(shí)間重放該信號(hào)以解鎖車輛。這一攻擊之所以可行，根源在于部分廠商仍在使用過(guò)時(shí)的固定學(xué)習(xí)代碼技術(shù)，而非滾動(dòng)代碼技術(shù)。

獨(dú)立安全研究員Danilo Erazo發(fā)現(xiàn)的CVE-2025-6029漏洞（CVSS評(píng)分9.4）就是一個(gè)典型案例。該漏洞影響了2022年至2025年起亞在厄瓜多爾市場(chǎng)的Soluto、Rio和Picanto等車型，這些車輛配備了帶有HS2240和EV1527芯片的售后市場(chǎng)密鑰卡，使用固定學(xué)習(xí)代碼而非滾動(dòng)代碼。攻擊者可通過(guò)捕獲信號(hào)并重放的方式解鎖車輛，甚至能通過(guò)注入新的學(xué)習(xí)代碼獲得永久性未授權(quán)訪問(wèn)。

3. 遠(yuǎn)程控車賬號(hào)被盜——最隱蔽的威脅

比中繼攻擊更隱蔽的，是數(shù)字鑰匙對(duì)應(yīng)的遠(yuǎn)程控車賬號(hào)被盜?，F(xiàn)在的數(shù)字鑰匙幾乎都綁定在車企官方APP上，APP賬號(hào)一旦泄露，相當(dāng)于將車鑰匙親手交給了別人。

很多車主設(shè)置的是簡(jiǎn)單的弱密碼，甚至與其他平臺(tái)密碼完全相同，一旦其他平臺(tái)發(fā)生數(shù)據(jù)泄露，控車賬號(hào)便隨之暴露。2025年，有安全研究團(tuán)隊(duì)發(fā)現(xiàn)，攻擊者可組合利用某汽車廠商云平臺(tái)的多個(gè)漏洞，形成完整攻擊鏈：先批量獲取車主姓名、手機(jī)號(hào)和車輛VIN碼，再通過(guò)VIN碼定位車輛實(shí)時(shí)位置，進(jìn)而遠(yuǎn)程解鎖并啟動(dòng)車輛。

特斯拉也曾發(fā)生過(guò)類似的第三方API Token泄露事件。一名特斯拉Model Y車主的Tessie APP API Token遭泄露，攻擊者遠(yuǎn)程解鎖車輛，三分鐘后便闖入車內(nèi)實(shí)施盜竊。API Token的安全性遠(yuǎn)低于APP本身的認(rèn)證機(jī)制，這一案例暴露出第三方生態(tài)集成中的安全盲區(qū)。

4. 二手車權(quán)限殘留——被忽視的法律風(fēng)險(xiǎn)

2025年深圳發(fā)生的一起案件發(fā)人深?。阂幻凶永枚周嚱灰字性囍鬟h(yuǎn)程控制權(quán)限未清理的漏洞，偷回已抵債的車輛，甚至在高速公路上惡意遙控熄火，最終因盜竊罪和危害公共安全罪獲刑四年。這一案例表明，數(shù)字鑰匙權(quán)限的生命周期管理不僅是技術(shù)問(wèn)題，更涉及嚴(yán)重的法律風(fēng)險(xiǎn)。

04

數(shù)字鑰匙滲透測(cè)試方法論與實(shí)踐

滲透測(cè)試是發(fā)現(xiàn)和驗(yàn)證數(shù)字鑰匙安全漏洞的重要手段。以下從方法論和典型案例兩個(gè)維度展開(kāi)。

1. 滲透測(cè)試方法框架

針對(duì)數(shù)字鑰匙系統(tǒng)的滲透測(cè)試，通常采用多層次、多維度的測(cè)試方法：

信號(hào)層測(cè)試：使用SDR（軟件定義無(wú)線電）設(shè)備（如HackRF、RTL-SDR）捕獲數(shù)字鑰匙與車輛之間的無(wú)線通信信號(hào)，分析協(xié)議的加密強(qiáng)度、認(rèn)證機(jī)制和抗重放能力。

藍(lán)牙/NFC協(xié)議測(cè)試：使用專業(yè)藍(lán)牙嗅探工具（如Ubertooth、Nordic Sniffer）或NFC讀寫設(shè)備，測(cè)試配對(duì)過(guò)程的安全性、加密通信的完整性以及信號(hào)距離判斷的邏輯是否存在漏洞。

云端API測(cè)試：對(duì)車企APP和服務(wù)端API進(jìn)行滲透測(cè)試，包括身份認(rèn)證繞過(guò)、越權(quán)訪問(wèn)、注入攻擊等常規(guī)Web安全測(cè)試方法。

硬件安全測(cè)試：對(duì)車輛端控制器和移動(dòng)設(shè)備端的密鑰存儲(chǔ)進(jìn)行硬件安全分析，測(cè)試安全元件的防護(hù)能力和密鑰提取難度。

2. 典型滲透測(cè)試案例

案例一：起亞厄瓜多爾無(wú)鑰匙進(jìn)入系統(tǒng)滲透（CVE-2025-6029）

研究員Danilo Erazo開(kāi)發(fā)了名為AutoRFKiller的Python工具，基于GNU Radio和HackRF SDR執(zhí)行信號(hào)捕獲、暴力破解和Rolljam攻擊。該工具的工作流程為：捕獲遙控鑰匙的射頻信號(hào)→重放信號(hào)解鎖車輛→通過(guò)注入新的學(xué)習(xí)代碼獲得永久性未授權(quán)訪問(wèn)。這一案例的關(guān)鍵發(fā)現(xiàn)是：攻擊所需的全部工具均為開(kāi)源軟件和市面上可購(gòu)買到的硬件，滲透門檻極低。

案例二：滾動(dòng)碼破解（Flipper Zero固件攻擊）

2025年出現(xiàn)針對(duì)Flipper Zero設(shè)備的新型定制固件，能夠繞過(guò)大多數(shù)現(xiàn)代汽車采用的滾動(dòng)碼安全系統(tǒng)，可能導(dǎo)致數(shù)百萬(wàn)輛汽車面臨被盜風(fēng)險(xiǎn)。該攻擊的顯著特征是原裝鑰匙扣會(huì)立即與車輛失去同步并失效，這往往是車主察覺(jué)安全漏洞的首個(gè)跡象。

05

標(biāo)準(zhǔn)演進(jìn)與安全防護(hù)體系

面對(duì)日益嚴(yán)峻的安全挑戰(zhàn)，國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)體系正在快速更新。

1. 國(guó)際標(biāo)準(zhǔn)：UNECE R116

聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)（UNECE）發(fā)布的R116《關(guān)于機(jī)動(dòng)車輛防盜保護(hù)的統(tǒng)一技術(shù)規(guī)定》，為數(shù)字鑰匙安全防護(hù)制定了系統(tǒng)性規(guī)則。R116要求數(shù)字鑰匙僅能通過(guò)授權(quán)流程傳輸，需通過(guò)匹配認(rèn)證，明確要求符合UNECE R155網(wǎng)絡(luò)安全法規(guī)，將防攻擊要求納入整車網(wǎng)絡(luò)安全體系。

2. 國(guó)內(nèi)標(biāo)準(zhǔn)：GB 15740-2024

我國(guó)在2024年9月29日發(fā)布的GB 15740-2024《汽車防盜裝置》，將于2026年1月1日正式實(shí)施。該標(biāo)準(zhǔn)明確了數(shù)字鑰匙需具備防重放攻擊措施（條款4.9 c），要求數(shù)字鑰匙與物理載體綁定并與車輛防盜裝置完成匹配認(rèn)證。在解鎖距離方面，標(biāo)準(zhǔn)設(shè)定了“6米安全半徑”，要求防盜裝置解鎖需檢測(cè)數(shù)字鑰匙在車內(nèi)或6米范圍內(nèi)。

兩部標(biāo)準(zhǔn)在身份認(rèn)證與綁定、網(wǎng)絡(luò)攻擊防護(hù)、解鎖距離限制等方面達(dá)成了高度共識(shí)，但在具體實(shí)施路徑上存在差異——UNECE R116明確引用R155標(biāo)準(zhǔn)，而GB 15740-2024僅提出“防止網(wǎng)絡(luò)攻擊”的總體要求，體現(xiàn)了國(guó)內(nèi)法規(guī)在靈活性方面的考量。

3. ISO/SAE 21434網(wǎng)絡(luò)安全工程標(biāo)準(zhǔn)

ISO/SAE 21434作為道路車輛網(wǎng)絡(luò)安全工程的全球性標(biāo)準(zhǔn)，要求汽車電子系統(tǒng)（包括數(shù)字鑰匙）具備風(fēng)險(xiǎn)分析和安全防護(hù)能力，覆蓋從設(shè)計(jì)、開(kāi)發(fā)到生產(chǎn)、運(yùn)維的全生命周期網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。

06

總 結(jié)

數(shù)字鑰匙正在重塑我們的用車體驗(yàn)，但技術(shù)的便捷性不應(yīng)以犧牲安全為代價(jià)。從公安部統(tǒng)計(jì)的127%盜竊案件增長(zhǎng)，到CVE-2025-6029等嚴(yán)重漏洞的曝光，數(shù)字鑰匙安全風(fēng)險(xiǎn)絕非危言聳聽(tīng)。在此背景下，上?？匕餐瞥隽藢楣I(yè)互聯(lián)網(wǎng)與網(wǎng)聯(lián)汽車場(chǎng)景設(shè)計(jì)的對(duì)外通信安全測(cè)試解決方案，并在此基礎(chǔ)上構(gòu)建了自動(dòng)化智能模糊滲透測(cè)試工具SmartRocket TestSec。該工具深度融合模糊測(cè)試技術(shù)與仿真分析能力，能夠?qū)⒉煌ㄐ欧绞降陌踩珳y(cè)試能力統(tǒng)一納入同一技術(shù)框架之下。該工具針對(duì)藍(lán)牙協(xié)議支持不同協(xié)議的模糊測(cè)試、后門服務(wù)測(cè)試、拒絕服務(wù)攻擊、中間人攻擊、重放攻擊、協(xié)議漏洞測(cè)試等。

自動(dòng)化智能模糊滲透測(cè)試工具

SmartRocket TestSec

參考文獻(xiàn)

[1] TorqueNews. My Tesla Model Y Was Remotely Unlocked By Thieves Who Compromised My Tessie API Token[EB/OL]. 2025-09-08.

[2] AutoBlog. Keyless Entry is a Car-Thief‘s Dream: Is Yours on the List?[EB/OL]. 2025-06-15.

[3] 安全客. CVE-2025-6029和CVE-2025-6030：重播攻擊暴露了KIA和Autoeastern智能無(wú)鑰匙進(jìn)入系統(tǒng)中的漏洞[EB/OL]. 2025-06-16.

[4] Gesteira-Mi?arro R, López G, Palacios R. Clonable key fobs: Analyzing and breaking RKE protocols[J]. International Journal of Information Security, 2025.

審核編輯 黃宇