Просто надо разделять фичи от безопасности. Причём физически. Всякие магнитофончики-навигации это одна сеть. Её можно даже рутовать разрешить. А вот мотор, тормоза, все эти датчики, все эти процессоры, это вторая сеть. И к первой доступ есть только в одну сторону (читать показания датчиков), причём, опять же, с аппаратным роутером.

А с обновлениями — какая разница, как их заливать? Всё, что распространяется через СЦ, обычно распространяется через интернет. Напрямую или в закрытых форумах, но распространяется. Проверять цифровую подпись прошивки это не rocket science, а больше для безопасности ничего и не надо.