7月20日,360安全大脑360 Sky-Go安全团队全球独家发布《梅赛德斯-奔驰安全研究报告》并披露及协助修复19个安全漏洞,获得梅赛德斯-奔驰官方肯定。梅赛德斯-奔驰特拉维夫CEO及梅赛德斯-奔驰汽车信息安全负责人阿迪•奥菲克 (Adi Ofek) 表示:“我们非常赞赏360 Sky-Go团队的研究实力和360安全大脑的出色能力,他们辛勤的努力和富有热情的研究工作,为协助我们进一步提高车辆信息安全做出了重要贡献。”
(梅赛德斯-奔驰官方致谢360安全团队)
基于360Sky-Go团队历时一年的深入研究,此次报告全球首次公开19个与梅赛德斯-奔驰智能网联汽车有关的安全漏洞细节,并还原挖掘漏洞全过程。可以说,此次报告一方面表明了360对漏洞挖掘紧追不舍的决心,另一方面也向全行业分享了360团队独树一帜的网联车安全研究方法论,为车联网行业输出安全智慧。目前,19个漏洞在Sky-Go团队及梅赛德斯-奔驰研究人员密合作之下已得到修复,而此次合作对于智能网联汽车产业安全建设有着利好效应,成为智能网联汽车安全“里程碑”。
首创通用研究法,直击19个漏洞脆弱内核
360携手奔驰捍卫智能网联汽车安全
想要在错综复杂的智能汽车系统里,找到隐秘的漏洞,就要抓住核心,定点突破。报告指出,自2019年开始,360 Sky-Go团队对梅赛德斯-奔驰开展了此项信息安全测试研究,其过程以车载娱乐主机(Head-Unit)、车载通讯模块(HERMES or TCU)、车联网通信协议(ATP Protocol)及后端服务(Backend Services)等主要联网模块为研究对象,利用首创的通用智能网联汽车系统研究方法搭建测试平台,深挖系统深处安全漏洞。为保研究精准性,360 Sky-Go安全团队“广撒网”,收集了涵盖美国、加拿大、中国、俄罗斯共计四个版本的奔驰智能汽车核心组件——车载通讯模块(HERMES),最终,初步发现了19个相关潜在漏洞,包括CVE-2019-19556、CVE-2019-19557、CVE-2019-19558、CVE-2019-19560、CVE-2019-19561、CVE-2019-19562、CVE-2019-19563等7个CVE漏洞。经360 Sky-Go团队深入研究发现,利用安全漏洞形成的完整攻击链路,可实现对多个系列奔驰汽车的电力、动力系统的远程无接触控制并进行复现,其控制场景包括:对前后车门、车窗、车前灯、雨刷器的开启关闭。19个漏洞的浮现可谓声声炸惊雷,因此360 Sky-Go第一时间遵循“负责任的漏洞披露”流程,向Daimler AG信息安全团队通告了漏洞细节,并积极响应漏洞修复。两天后,奔驰安全团队关停了部分与漏洞相关的服务,并开始漏洞修复工作。最后,在360团队的协助下,奔驰安全团队十七天修复所有涉及到后端访问的漏洞。
智能网联汽车江湖已现
360浇筑“车联网”安全基石
万物互联造就“万物皆险”, 智能网联车时代安全成汽车“标配”,但安全护城河不是一天建成的。而去年汽车及出行领域的11家企业联合发布《自动驾驶安全第一白皮书》,以及今年美国UL 4600《自动驾驶产品安全评估标准》的发布,智能网联汽车的安全问题越发引起全球汽车领域的广泛关注。360作为中国最早成立汽车信息安全研究团队的安全公司,通过多年在汽车信息安全领域的研究成果和实践经验,基于360安全大脑十余年来在安全大数据、威胁情报、知识库、安全专家等关键能力的积累,率先打造了适用于汽车行业的安全大脑——汽车安全大脑。基于能力提供服务 ,360车联网安全建设发展势头强劲,此次《梅赛德斯-奔驰安全研究报告》仅是360护航车联网安全的一个缩影。
- 2018年,360智能网联汽车安全大脑已被选入工业互联网创新示范试点工程项目,在行业内起到指导性意义。
- 2019年,360与紫光共同研发了汽车安全专用安全芯片,该芯片同时符合车规级与金融级的安全标准,具备低功耗、高性能和高可靠的特点,支持国际、国密安全算法。
- 2020年3月,360与中国汽研达成战略合作,围绕车联网领域测试评价、安全认证、标准体系、产学研平台一体化展开合作。
作为国内80%自主品牌汽车的安全解决方案提供者,360实力通过持续为汽车行业提供应用服务、工具服务和专家服务,部署在车联网环境中的威胁检测与响应引擎,持续对车辆及车联网云平台进行威胁感知、分析、响应,发现车联网中的异常事件、攻击行为,阻断黑客对车联网的攻击,下发并配置安全策略,免疫攻击行为,形成车联网全生命周期安全防御体系,护航“人-车-路-云”场景下车联网环境的安全。目前,车联网安全整体仍处于起步阶段,需要汽车界的共同参与和相关产业的联动,360愿不断输出自身安全能力,基于多年核心实力,凝聚行业力量,加大研发与创新。
关于360 Sky-Go安全团队
360 Sky-Go(智能网联汽车安全实验室)是国内首支关注汽车信息安全领域的顶级安全团队,团队一直致力于车联网安全研究,与高校、研究机构、汽车厂商共同探索产学研一体的协同技术革新的合作模式。截止目前,先后与一汽,长安,特斯拉,东风日产,吉利,博世,比亚迪等众多汽车制造商和供应商达成合作,以提升智能汽车安全性。
来源:freebuf.com 2020-07-22 18:13:21 by: 360企业安全官方账号
请登录后发表评论
注册