阿里云车联网安全解决方案-v10.pptx

阿里云车联网安全解决方案

目录行业背景安全痛点解决方案客户收益典型案例

随着汽车变得越来越网联化和自动化，汽车系统的安全性和完整性成为汽车工业首要任务。 Auto-ISAC--《AutomotiveCybersecurityBestPractices》

行业背景安全痛点解决方案客户收益典型案例目录

2015年BLACKHAT大会，两位白帽子远程破解了一辆未经改装的切诺基Jeep，震惊了整个汽车行业。由于UConnect信息娱乐系统中存在着漏洞，攻击者可在任何地方获得汽车的控制权，为此，克莱斯勒公司共计召回了140万辆问题汽车。2016年9月，腾讯科恩实验室利用安全漏洞对特斯拉进行无物理接触远程攻击，实现了对特斯拉驻车状态和行驶状态下的远程控制。这是全球范围内第一次通过安全漏洞成功无物理接触远程攻入特斯拉车电网络并实现对特斯拉进行任意的车身和行车控制。2015201620162015款本田CRV5的DA车机屏(Android系统)被破解，用户可以通过调试接口Root系统，安装第三方应用。车联网攻击事件

那些年，被Hack过的车

网络安全系统安全车电网络安全CAN总线Sprint端口扫描UconnectD-busV850MCU固件恶意WiFi热点通过Webkit漏洞获取系统root权限OTA更新GW固件CherokeeTesla攻击路径

IVIT-BOXGatewayCANOBD-IIBCMBMSECUABSESP车内攻击In-CarAppsOSFrameworksKernel（AGL）APN/Multi-APNsOEMTSPInternetCP/SP3rdPartyCP/SPBackendTSP近场攻击远程攻击MobileApp（VirtualCarKeys）IoTDevicesviaBT，WiFi，…MobileApp（VirtualCarKeys）PublicInternet物理攻击病毒木马特权提升系统篡改ECU程序重写CAN总线攻击远程控制逆向工程逆向工程协议泄露App篡改/重打包逆向工程协议泄露D-DoS攻击用户数据泄露逆向工程协议泄露App篡改/重打包恶意软件攻击僵尸网络远程控制攻击面梳理

行业背景安全痛点解决方案客户收益典型案例目录

阿里云车联网安全解决方案认证与通信安全APP端安全云服务业务安全汽车端安全安骑士安全沙箱堡垒机DDoS高防IPVPC云防火墙Web应用防火墙证书服务/加密服务实人认证态势感知车联网渗透测试TEE/ESS安全OTA车机管家IoT套件/MQPKI/CA系统ID2安全组件安全加固恶意代码扫描阿里云车联网解决方案

IVIT-BOXGatewayCANOBD-IIBCMBMSECUABSESPOEMTSP3rdPartyCP/SPBackendTSPInternetCP/SPIn-CarAppsOSFrameworksKernel（AGL）APN/Multi-APNsMobileApp（VirtualCarKeys）IoTDevicesviaBT，WiFi，…MobileApp（VirtualCarKeys）PublicInternetBlueToothPKIPKIPKIPKI3rdParty,Unsafe安全诊断威胁感知漏洞检测恶意代码扫描安全OTA安全沙箱IoT套件应用加固恶意代码扫描防DDoS云盾Web应用防火墙态势感知安骑士应用加固恶意代码扫描专有网络VPC阿里云车联网安全防御体系

IVIT-BOXGatewayCANOBD-IIBCMBMSECUABSESPIn-CarAppsOSFrameworksKernel（AGL）APN/Multi-APNsPublicInternetOEMTSPInternetCP/SP3rdPartyCP/SPBackendTSPMobileApp（VirtualCarKeys）阿里云有专门研究IoT的安全团队，致力于车联网、智能硬件的安全研究。团队成员曾经在GeekPwn、Xcon等大会上做公开演讲，曾经发现多个车联网安全漏洞。模拟攻击的安全测试主要包括三类：远车攻击测试、近车攻击测试、车内攻击测试远车攻击测试通过网络发起的攻击测试，包括通过攻击汽车各网络应用平台，攻击相应的手机APP，或者在通信网络中采取各种措施的攻击。车联网安全：渗透测试

车联网安全：渗透测试近车攻击测试：攻击者在车附近，通过短距离通信的各种协议，与车辆建立网络连接，访问车辆的信息系统。既包括通过Wi-Fi或者蓝牙协议的连接，也包括使用RKE，胎压监测、RFID车钥匙的应用，甚至分析802.11p或者DSRC等新兴的用于车