7 月 20 日,360 安全大脑 360 Sky-Go 安全团队全球独家发布《梅赛德斯-奔驰安全研究报告》并披露及协助修复 19 个安全漏洞,获得梅赛德斯-奔驰官方肯定。梅赛德斯-奔驰特拉维夫 CEO 及梅赛德斯-奔驰汽车信息安全负责人阿迪·奥菲克 (Adi Ofek) 表示:“我们非常赞赏 360 Sky-Go 团队的研究实力和 360 安全大脑的出色能力,他们辛勤的努力和富有热情的研究工作,为协助我们进一步提高车辆信息安全做出了重要贡献。”

360与奔驰携手修复19个安全漏洞,获梅赛德斯-奔驰公开致谢-冯金伟博客园

(梅赛德斯-奔驰官方致谢 360 安全团队)

  基于 360Sky-Go 团队历时一年的深入研究,此次报告全球首次公开 19 个与梅赛德斯-奔驰智能网联汽车有关的安全漏洞细节,并还原挖掘漏洞全过程。可以说,此次报告一方面表明了 360 对漏洞挖掘紧追不舍的决心,另一方面也向全行业分享了 360 团队独树一帜的网联车安全研究方法论,为车联网行业输出安全智慧。目前,19 个漏洞在 Sky-Go 团队及梅赛德斯-奔驰研究人员密合作之下已得到修复,而此次合作对于智能网联汽车产业安全建设有着利好效应,成为智能网联汽车安全“里程碑”。

  首创通用研究法,直击 19 个漏洞脆弱内核

  360 携手奔驰捍卫智能网联汽车安全

  想要在错综复杂的智能汽车系统里,找到隐秘的漏洞,就要抓住核心,定点突破。报告指出,自 2019 年开始,360 Sky-Go 团队对梅赛德斯-奔驰开展了此项信息安全测试研究,其过程以车载娱乐主机(Head-Unit)、车载通讯模块(HERMES or TCU)、车联网通信协议(ATP Protocol)及后端服务(Backend Services)等主要联网模块为研究对象,利用首创的通用智能网联汽车系统研究方法搭建测试平台,深挖系统深处安全漏洞。

360与奔驰携手修复19个安全漏洞,获梅赛德斯-奔驰公开致谢-冯金伟博客园

  为保研究精准性,360 Sky-Go 安全团队“广撒网”,收集了涵盖美国、加拿大、中国、俄罗斯共计四个版本的奔驰智能汽车核心组件——车载通讯模块(HERMES),最终,初步发现了 19 个相关潜在漏洞,包括 CVE-2019-19556、CVE-2019-19557、CVE-2019-19558、CVE-2019-19560、CVE-2019-19561、CVE-2019-19562、CVE-2019-19563 等 7 个 CVE 漏洞。

  经 360 Sky-Go 团队深入研究发现,利用安全漏洞形成的完整攻击链路,可实现对多个系列奔驰汽车的电力、动力系统的远程无接触控制并进行复现,其控制场景包括:对前后车门、车窗、车前灯、雨刷器的开启关闭。19 个漏洞的浮现可谓声声炸惊雷,因此 360 Sky-Go 第一时间遵循“负责任的漏洞披露”流程,向 Daimler AG 信息安全团队通告了漏洞细节,并积极响应漏洞修复。两天后,奔驰安全团队关停了部分与漏洞相关的服务,并开始漏洞修复工作。最后,在 360 团队的协助下,奔驰安全团队十七天修复所有涉及到后端访问的漏洞。

  智能网联汽车江湖已现

  360 浇筑“车联网”安全基石

  万物互联造就“万物皆险”, 智能网联车时代安全成汽车“标配”,但安全护城河不是一天建成的。而去年汽车及出行领域的 11 家企业联合发布《自动驾驶安全第一白皮书》,以及今年美国 UL 4600《自动驾驶产品安全评估标准》的发布,智能网联汽车的安全问题越发引起全球汽车领域的广泛关注。360 作为中国最早成立汽车信息安全研究团队的安全公司,通过多年在汽车信息安全领域的研究成果和实践经验,基于 360 安全大脑十余年来在安全大数据、威胁情报、知识库、安全专家等关键能力的积累,率先打造了适用于汽车行业的安全大脑——汽车安全大脑。基于能力提供服务 ,360 车联网安全建设发展势头强劲,此次《梅赛德斯-奔驰安全研究报告》仅是 360 护航车联网安全的一个缩影。

  • 2018 年,360 智能网联汽车安全大脑已被选入工业互联网创新示范试点工程项目,在行业内起到指导性意义。
  • 2019 年,360 与紫光共同研发了汽车安全专用安全芯片,该芯片同时符合车规级与金融级的安全标准,具备低功耗、高性能和高可靠的特点,支持国际、国密安全算法。
  • 2020 年 3 月,360 与中国汽研达成战略合作,围绕车联网领域测试评价、安全认证、标准体系、产学研平台一体化展开合作。

  作为国内 80% 自主品牌汽车的安全解决方案提供者,360 实力通过持续为汽车行业提供应用服务、工具服务和专家服务,部署在车联网环境中的威胁检测与响应引擎,持续对车辆及车联网云平台进行威胁感知、分析、响应,发现车联网中的异常事件、攻击行为,阻断黑客对车联网的攻击,下发并配置安全策略,免疫攻击行为,形成车联网全生命周期安全防御体系,护航“人-车-路-云”场景下车联网环境的安全。目前,车联网安全整体仍处于起步阶段,需要汽车界的共同参与和相关产业的联动,360 愿不断输出自身安全能力,基于多年核心实力,凝聚行业力量,加大研发与创新。

  关于 360 Sky-Go 安全团队

  360 Sky-Go(智能网联汽车安全实验室)是国内首支关注汽车信息安全领域的顶级安全团队,团队一直致力于车联网安全研究,与高校、研究机构、汽车厂商共同探索产学研一体的协同技术革新的合作模式。截止目前,先后与一汽,长安,特斯拉,东风日产,吉利,博世,比亚迪等众多汽车制造商和供应商达成合作,以提升智能汽车安全性。