日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

汽車無線通信安全測試案例分析

2021-02-25 20:02:30·  來源:軟件測評中心  
 
檢測認證事業(yè)部軟件測評中心致力于汽車信息安全測試技術(shù)研究,涵蓋無線通信、T-Box、IVI、CAN網(wǎng)絡(luò)等測試大類。其中,無線通信安全是引起汽車通信安全問題的主要
檢測認證事業(yè)部軟件測評中心致力于汽車信息安全測試技術(shù)研究,涵蓋無線通信、T-Box、IVI、CAN網(wǎng)絡(luò)等測試大類。其中,無線通信安全是引起汽車通信安全問題的主要因素之一,下面將介紹無線通信安全測試案例及防護建議。

一、測試案例

測試案例1:Wi-Fi協(xié)議模糊測試
風險分析:利用模糊測試找出Wi-Fi存在的漏洞,如緩沖區(qū)溢出漏洞、拒絕服務(wù)漏洞等對車載Wi-Fi進行攻擊,通過發(fā)送特制的數(shù)據(jù)包造成拒絕服務(wù)、緩沖區(qū)溢出、應(yīng)用程序崩潰等問題。
測試過程:對目標系統(tǒng)的Beacon幀、Probe Request幀、Probe Response幀輸入變異數(shù)據(jù),進行模糊測試,觀察是否存在拒絕服務(wù)、緩沖區(qū)溢出等異?,F(xiàn)象。

汽車無線通信安全測試案例分析
測試案例2:針對藍牙已知漏洞驗證
風險分析:攻擊者可通過IVI安卓系統(tǒng)存在的已知漏洞對其進行攻擊,從而獲取用戶數(shù)據(jù),或通過已知漏洞為入口獲取一定權(quán)限,注入惡意軟件。
測試過程:查看IVI安卓版本,選擇相關(guān)CVE漏洞進行漏洞驗證測試。測試某車型時,其安卓版本為6.0,選擇CVE-2020-0022進行POC測試。藍牙開啟情況下,遠程攻擊者在一定距離范圍內(nèi)利用藍牙的MAC地址得到藍牙守護程序的權(quán)限,從而執(zhí)行任意代碼,獲取個人數(shù)據(jù)或傳播惡意軟件。

測試案例3:射頻鑰匙錄制重放開啟車門
風險分析:攻擊者通過監(jiān)聽獲取控制指令的信號,并通過重放控制汽車指令 ,可以進行重放控制汽車,從而盜取汽車。
測試過程:在測試某型號汽車中,存在控制指令重放漏洞風險。通過錄制射頻鑰匙解鎖信號,向車輛重放錄制的信號,觀察車鎖是否打開。

二、Wi-Fi信息安全
圖片
隨著汽車對無線技術(shù)的依賴性增強,車載Wi-Fi需求也不斷增長,而Wi-Fi所暴露出的信息安全威脅也越來越多。利用車載Wi-Fi可在用戶毫不知情的情況下竊取個人敏感信息,從而造成汽車用戶的隱私泄露甚至經(jīng)濟損失。車載Wi-Fi防護建議如下:
1. Wi-Fi默認密碼應(yīng)使用強復(fù)雜度的口令;
2. 車載Wi-Fi應(yīng)采用WPA2-PSK或者更高安全級別的加密認證方式;
3. 車載Wi-Fi密碼可隨機化,短時間二次連接需二次認證;
4. 在無線通信過程中,傳輸數(shù)據(jù)不應(yīng)該包含敏感信息。

三、藍牙信息安全

作為實現(xiàn)車內(nèi)網(wǎng)絡(luò)傳輸短距離通信設(shè)備之一,藍牙易受到外部攻擊,存在較多信息安全風險。藍牙的安全威脅主要來自藍牙漏洞攻擊、藍牙配對竊聽、DoS攻擊導(dǎo)致拒絕服務(wù)等,攻擊者可通過藍牙盜取汽車上的訪問數(shù)據(jù),還能夠獲取汽車用戶撥打電話信息,竊聽用戶通話、發(fā)送信息或利用設(shè)備提供其他服務(wù)與功能。藍牙防護建議如下:
1. 目標藍牙與外界設(shè)備建立連接應(yīng)采用安全的配對模式;
2. 目標藍牙設(shè)備地址協(xié)議信息應(yīng)具有防護措施,防止被讀??;
3. 采用安全的藍牙版本及操作系統(tǒng),具有漏洞修復(fù)能力;
4. 車載藍牙設(shè)備應(yīng)驗證配對請求,配對成功后,應(yīng)對外部設(shè)備進行鑒權(quán)以防止非法接入;
5. 在藍牙通信過程中,應(yīng)該對通信數(shù)據(jù)進行加密處理。

聯(lián) 系 人:王玨
聯(lián)系電話:15176368872
郵 箱:wangjue@catarc.ac.cn 
分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25