近期在美国旧金山莫斯康中心举办的安全活动RSAC上,集团旗下Sky-Go汽车安全团队公布了奔驰的安全情况-奔驰 研究结果共发现19个硬件和软件漏洞。
据Sky-Go安全研究团队的Kong Zi严敏睿介绍介绍,通过利用多个漏洞形成的攻击链,可以实现对奔驰的非接触式控制,例如未经授权的远程解锁车门、启动发动机等操作。
据统计,这些漏洞将影响中国数万辆奔驰智能汽车。
溯源:19个漏洞背后的安全研究与合作。
Sky-Go团队于下半年启动了针对奔驰的安全研究计划,并于今年5月份获得了初步研究结果; 8月21日,Sky-Go团队将漏洞汇总成报告,遵循负责任的漏洞披露原则,并将漏洞详细信息提交给奔驰安全团队;两天后的8月23日,奔驰安全团队关闭了部分与漏洞相关的服务。
减少更多安全风险; 8月26日,奔驰安全团队开始漏洞修复工作; 10月23日,双方安全团队在北京召开了为期两天的漏洞研讨会,与Mei讨论了Sky-Go团队的研究过程和细节。
Sides-Benz安全团队就漏洞产生原因进行了深入讨论。
漏洞及修复过程; 2019年1月,应奔驰安全团队邀请,Sky-Go安全研究团队前往以色列特拉维夫,沟通进一步的漏洞细节; 2月28日,Sky-Go安全研究团队的安全研究员陈元凯与奔驰研发中心的产品安全负责人Guy Hapack在RSAC同台演讲,并发布了他们的研究成果梅赛德斯-奔驰在发布会现场。
包含多达19个软硬件安全漏洞。
现状:漏洞不仅影响汽车和人员的安全。
据Upstream统计报告显示,汽车网络安全事件仍处于快速增长阶段,是2018年的2倍、2017年的7倍。
此外,利用蓝牙、无线钥匙等移动设备进行远程攻击的数量应用程序显着增加。
汽车一旦出现网络安全问题,将会造成巨大的危害。
陈元凯从用户、车企、社会三个方面谈到了影响:对于用户来说,黑客可能利用汽车漏洞实时解锁车辆并窃取车辆,发起远程攻击并控制行驶车辆,对用户造成威胁。
车主的财产和人身安全;对于车企来说,一旦发现安全漏洞,将直接影响车企的品牌市场价值。
同时,大规模召回也会消耗大量的人力、物力,造成巨大的经济损失;对于社会来说,非法黑客组织可能会利用这些漏洞。
实施大规模有目的攻击(APT)直接影响社会和国家的稳定。
由于该漏洞仍在修复中,且涉及多方产品和机密信息,Sky-Go团队与奔驰安全团队保持密切沟通。
该漏洞的详细技术细节将在稍后公布。
您可以扫描二维码进行信息登记。
后续报告发布后,您将收到电子邮件通知。
报名地址:展望:良好的汽车安全生态圈的建设靠的是合作。
汽车安全研究从来都不是独立进行的。
特斯拉早在2018年就设立了“安全研究员名人堂”,鼓励白帽黑客“查漏补缺”; 2017年,通用汽车与著名白帽黑客平台HackerOne合作推出“漏洞赏金计划”; 5月梅赛德斯-奔驰还计划在2020年启动以安全为重点的“Bug Bounty”项目,旨在帮助和鼓励相关研究团队协助梅赛德斯-奔驰改进其互联服务。
“主动识别漏洞对于保护我们的客户及其车辆的数据至关重要。
梅赛德斯-奔驰非常重视其信息安全团队的专业知识。
”梅赛德斯-奔驰特拉维夫及梅赛德斯-奔驰汽车信息安全首席执行官负责人阿迪·奥菲克表示:“我们非常欣赏Sky-Go团队的研究实力和安全大脑的出色能力。
他们的辛勤工作和热情的研究工作帮助我们进一步提高车辆信息安全。
此次帮助发现19个漏洞的“汽车安全大脑”是一套完整的汽车信息安全解决方案,通过部署在汽车上的软硬件安全产品来收集安全相关数据。
汽车网络安全风险感知云平台。
“汽车安全大脑”也亮相RSAC展区,力求展示在智能网联汽车领域多年积累的安全能力。
首次进入国际领域,引起了宝马、松下、沃尔玛、华为等全球知名企业的关注。
集团董事长兼首席执行官周鸿祎在谈及汽车安全大脑时表示:“未来,我们希望为汽车行业提供更全面的信息安全专业知识和解决方案,保障智能汽车时代的安全。
万物互联,让更多汽车制造商和客户共同受益。
“目前,汽车安全大脑已连接超过30万辆汽车,拦截攻击次数超过0次,累计发现车联网安全问题100多个,影响约1万辆智能汽车。
未来,汽车安全大脑将进一步提升安全能力,期待与更多汽车厂商合作,构筑车联网安全防线,保护更多智能网联汽车。