近日，中国汽研指数管理中心正式发布了《中国汽车综合测评技术研究报告（2022）》，该报告综述了中国汽车测评发展格局与前景、中国汽车测评对行业发展的作用、中国汽车测评前沿技术等，为学界、企业、行业等提供重要参考，助力汽车行业高质量发展。我们将通过一系列的前沿研究成果，和你共同探究汽车测评新动态。本期内容选取近年来火热的OTA话题，看看智能化下的汽车安全风险有何新变化。

伴随智能汽车市场规模发展，越来越多的汽车产品具备OTA能力，功能的优化、以及服务的差异化，成为了车企竞争的新战场。数据表明，2022年中国市场（不含进出口）乘用车前装标配OTA功能交付新车972.16万辆，同比增长26.55%。OTA究竟是什么？它又是否有潜在的风险呢？

软件在线升级（又称“OTA”升级），是指通过无线网络下载远程服务器上的升级包，对系统或应用进行升级的技术。在软件定义汽车的时代，汽车软件的复杂度和重要性不断提升，软件持续更新优化的需求愈加迫切，越来越多的汽车生产厂商选择使用OTA技术对车辆进行升级优化。

1、 OTA升级技术表现

OTA技术逐渐成为汽车智能化发展的重要组成部分，主要表现为三个方面。一是OTA升级功能搭载率快速提升。OTA升级逐渐成为新车上市的标配，具有更多电子控制系统的新能源汽车更是形成OTA升级的引领之势，预计到2025年中国乘用车的OTA升级功能搭载率有望从当前的30%左右提升至80%。二是OTA升级广度和深度不断拓展。OTA升级范围涉及增加产品新功能、快速响应用户需求、修补产品质量缺陷等方面，升级内容从简单的车机功能逐步向智能座舱功能、制动能量回收、电池管理系统、辅助驾驶功能等扩展。三是催生新型商业模式。通过OTA升级，整车汽车业预装硬件，用户自主选择付费升级项目的创新商业模式逐渐被越来越多的汽车生产厂家采纳。该模式相较过去提供少量不同配置车型的模式，可以在更大程度上满足用户的个性化需求。

2、 OTA升级风险评估

随着OTA升级范围从影音娱乐功能逐渐扩展到动力、制动、转向等行驶功能，升级可能会影响到车辆安全、节能、环保等关键性能参数。若OTA升级后车辆关键参数与准入车型不一致，将可能带来风险隐患，致使车主及公众正当权益受到损害。因而亟需加强对OTA升级带来的风险进行评估。在OTA升级过程中，OTA云端、车端、升级包等关键环节均存在安全风险。一旦出现安全问题，可能发生车辆运行异常、隐私泄露、财产损失、人身伤亡等风险。常见的安全风险有云服务器安全风险、传输安全风险、通信协议安全风险、车端安全风险、升级包篡改风险。具体如下。

一是云服务器安全风险。 OTA云服务器主要进行升级包制作、软件管理、策略及任务管理等。OTA服务器与其他云平台一样，容易遭受分布式拒绝攻击（DDoS）、中间人攻击、跨云攻击、加密劫持等，可能导致用户敏感信息泄露、推送的升级包被篡改、升级策略更改等风险。

二是传输安全风险。OTA云服务推送软件升级包到车端的过程，如果采用弱认证方式或者明文传输，容易遭受中间人攻击、窃听攻击等，黑客可以进一步获取升级包进行解析、篡改升级包信息等，可能导致关键信息泄露、代码业务逻辑泄露等风险。

三是通信协议安全风险。云端与车端的通信过程如果采用不安全的通信协议或者通信过程不采用认证机制以明文通信，容易遭受中间人攻击、窃听攻击、重放攻击、DDoS攻击等，可能导致车端升级信息错误、敏感信息泄露、拒绝服务等风险。

四是车端安全风险。车端获取到升级包后会进入升级流程。如果引导程序、系统程序、OTA版本号等固定参数可信验证策略不安全或缺失，可能会导致车端运行恶意系统，造成隐私泄露、财产损失等风险。此外车端系统出现公开漏洞，如果得不到及时修复，可能导致黑客利用漏洞进行攻击，造成车辆、财产乃至人身安全风险。

五是升级包篡改风险。篡改或伪造升级包后发送到车端，如果车端升级流程缺少必要的验证机制或验证机制存在漏洞，篡改或伪造的升级包便可以顺利完成升级流程，以达到篡改系统、植入后门等恶意目的。

3、 OTA 升级安全威胁识别

以T-Box为升级主节点时，识别软件升级的系统构成、功能、边界、接口、数据流，识别资产的安全属性，从机密性（C）、完整性（I）、可用性（A）分析出关键资产。

经过以上分析，识别出OTA过程所设计核心资产为以下三类。一是数据资产：软件升级包、升级日志信息。二是零部件资产：T-Box、Gateway、总线及目标ECU。三是软件资产：零部件上所运行的系统、程序。