入职公司已经一年了,工作的主要内容是针对车场的联网汽车进行安全测试以及车联网相关(或不相关)的安全技术研究。入职的这一年主要还是学习和摸索的过程,针对于汽车安全有了一些自己的理解。
汽车安全测试
近些年来,很多车厂都对于车辆安全测试有了一些需求,造成这种需求上升的原因主要有两个:1、车载终端有了更强大的更丰富的功能。2、大量的车辆都具有了联网的功能。车厂最关心的漏洞类型,还是传统服务端的漏洞,包括APP、TBox、HU所访问的服务端。这些服务端与非车联网的服务端并无不同,因此往往不太需要与汽车安全有关的知识就可以进行漏洞的挖掘;其次就是一些非接触式的攻击纬度,如蓝牙、NFC、WiFi、4G、GPS,这类漏洞挖掘难度和攻击难度都较高,厂商也相对关心,但是在测试时间有限的情况下一般不会有什么产出;而接触式层面的测试,如调试口、USB、CAN总线(OBD)、后门等则是相对优先级低一些的测试项目。除此之外,安全测试不仅需要对于外部可直接使用的功能进行测试,同时还要对系统内部的一些存在的安全风险(漏洞)进行分析。因为内部有些系统或组件的漏洞并不能直接通过外部直接访问,但是在系统被攻破后会造成进一步的风险。所以在对于汽车进行安全测试的过程中,可以大致将测试的内容分为以下三个部分:1、已知公开漏洞扫描;2、未知漏洞挖掘;3、安全风险发现。下面分别针对这三个方面进行探讨。
已知公开漏洞检测
已知公开漏洞:已知公开漏洞可以说是车联网安全测试过程中比较重要的环节之一,不论是云端、车载终端中都存在了大量第三方应用、代码和库。对于云端来说使用的Web引擎、Web框架、Web插件等都是第三方的成分。就车载终端来说,使用
最低0.47元/天 解锁文章
2615
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
