2020年11月12日,中国电子信息产业发展研究院副总工程师安晖在世界智能网联汽车大会主题峰会上发布了智能网联汽车信息安全渗透指标体系及测试结果。
基于本次测试,中国软件评测中心认为智能网联汽车需逐步将信息安全贯穿到汽车供应链的全生命周期中,第三方测评机构在智能网联汽车信息安全发展过程中不可或缺。
01 直击现场
主题峰会上,安晖副总工对包括车载信息交互安全、车内外通信安全、APP安全以及接口安全四个方面的智能网联汽车信息安全渗透指标体系进行了介绍,并发布了本次智能网联汽车信息安全渗透测试结果,最后针对智能网联汽车信息安全防护提出了建议。
02 智能网联汽车信息安全渗透指标体系
参考ISO/SAE-21434《道路车辆 信息安全工程》、20191065-T-339《汽车信息安全通用技术要求》等国内外标准,中国软件评测中心智能网联汽车测评工程技术中心(以下简称赛迪汽车)提出了智能网联汽车信息安全渗透指标体系,具体内容如下:
图1 智能网联汽车信息安全渗透指标体系
03 智能网联汽车信息安全渗透测试
2020年9月-11月,赛迪汽车基于相关标准及渗透指标体系开展了智能网联汽车信息安全渗透测试工作。
本次渗透测试指标细分66项,测试车辆如下:
| 车企 | 车型 |
| 奇瑞汽车股份有限公司 | 小蚂蚁EQ1 |
| 威马智慧出行科技(上海)股份有限公司 | EX5 |
| 长城股份有限公司 | VV6 |
| 广州汽车集团股份有限公司 | 传祺GS8 |
| 浙江合众新能源汽车有限公司 | 哪吒 |
| 北京现代汽车有限公司 | 索纳塔10 |
| 北京新能源汽车股份有限公司 | ARCFOX极狐 |
| 零跑汽车有限公司 | S01 |
| 华晨汽车集团控股有限公司 | 中华V7 |
| 重庆长安汽车股份有限公司 | 逸动 |
(1)测试结果
测试结果发现,本次测试车辆主要在语音助手身份校验、WiFi、软件升级安全校验、第三方应用劫持篡改、车载信息交互系统工程模式、OBD接口、蓝牙、调试模式安全认证、USB接口、无线钥匙等方面存在问题。
图2 智能网联汽车信息安全渗透测试结果
(2)典型缺陷分析
分析本次测试中发现的典型缺陷,基于赛迪汽车车联网安全漏洞管理平台的漏洞评级办法,从可利用性、威胁影响程度、代码成熟度等方面进行了综合评分,结果如下:
图3 车载信息交互系统工程模式入侵分析
图4 车(内、外)通信缺陷
下一步,赛迪汽车将基于本次智能网联汽车信息安全渗透测试,发布渗透测试总报告,横向分析各车型安全技术现状,深度解读测试指标。
如需针对不同车型的详细报告,欢迎联系CCIDICV@cstc.org.cn,赛迪汽车可精准定位有关技术缺陷,为客户提供持续、专业的安全测试与咨询服务。
声明:本文来自中国软件评测中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
