360与奔驰携手修复19个安全漏洞，获梅赛德斯-奔驰公开致谢

7月20日，360安全大脑360 Sky-Go安全团队全球独家发布《梅赛德斯-奔驰安全研究报告》并披露及协助修复19个安全漏洞，获得梅赛德斯-奔驰官方肯定。

梅赛德斯-奔驰特拉维夫CEO及梅赛德斯-奔驰汽车信息安全负责人阿迪•奥菲克 (Adi Ofek) 表示：“我们非常赞赏360 Sky-Go团队的研究实力和360安全大脑的出色能力，他们辛勤的努力和富有热情的研究工作，为协助我们进一步提高车辆信息安全做出了重要贡献。”

（梅赛德斯-奔驰官方致谢360安全团队）

基于360Sky-Go团队历时一年的深入研究，此次报告全球首次公开19个与梅赛德斯-奔驰智能网联汽车有关的安全漏洞细节，并还原挖掘漏洞全过程。

可以说，此次报告一方面表明了360对漏洞挖掘紧追不舍的决心，另一方面也向全行业分享了360团队独树一帜的网联车安全研究方法论，为车联网行业输出安全智慧。

目前，19个漏洞在Sky-Go团队及梅赛德斯-奔驰研究人员密合作之下已得到修复，而此次合作对于智能网联汽车产业安全建设有着利好效应，成为智能网联汽车安全“里程碑”。

首创通用研究法，直击19个漏洞脆弱内核

360携手奔驰捍卫智能网联汽车安全

想要在错综复杂的智能汽车系统里，找到隐秘的漏洞，就要抓住核心，定点突破。

报告指出，自2019年开始，360 Sky-Go团队对梅赛德斯-奔驰开展了此项信息安全测试研究，其过程以车载娱乐主机（Head-Unit）、车载通讯模块（HERMES or TCU）、车联网通信协议（ATP Protocol）及后端服务（Backend Services）等主要联网模块为研究对象，利用首创的通用智能网联汽车系统研究方法搭建测试平台，深挖系统深处安全漏洞。

为保研究精准性，360 Sky-Go安全团队“广撒网”，收集了涵盖美国、加拿大、中国、俄罗斯共计四个版本的奔驰智能汽车核心组件——车载通讯模块（HERMES），最终，初步发现了19个相关潜在漏洞，包括CVE-2019-19556、CVE-2019-19557、CVE-2019-19558、CVE-2019-19560、CVE-2019-19561、CVE-2019-19562、CVE-2019-19563等7个CVE漏洞。

经360 Sky-Go团队深入研究发现，利用安全漏洞形成的完整攻击链路，可实现对多个系列奔驰汽车的电力、动力系统的远程无接触控制并进行复现，其控制场景包括：对前后车门、车窗、车前灯、雨刷器的开启关闭。

19个漏洞的浮现可谓声声炸惊雷，因此360 Sky-Go第一时间遵循“负责任的漏洞披露”流程，向Daimler AG信息安全团队通告了漏洞细节，并积极响应漏洞修复。两天后，奔驰安全团队关停了部分与漏洞相关的服务，并开始漏洞修复工作。最后，在360团队的协助下，奔驰安全团队十七天修复所有涉及到后端访问的漏洞。

智能网联汽车江湖已现

360浇筑“车联网”安全基石

万物互联造就“万物皆险”， 智能网联车时代安全成汽车“标配”，但安全护城河不是一天建成的。

而去年汽车及出行领域的11家企业联合发布《自动驾驶安全第一白皮书》，以及今年美国UL 4600《自动驾驶产品安全评估标准》的发布，智能网联汽车的安全问题越发引起全球汽车领域的广泛关注。

360作为中国最早成立汽车信息安全研究团队的安全公司，通过多年在汽车信息安全领域的研究成果和实践经验，基于360安全大脑十余年来在安全大数据、威胁情报、知识库、安全专家等关键能力的积累，率先打造了适用于汽车行业的安全大脑——汽车安全大脑。

基于能力提供服务 ，360车联网安全建设发展势头强劲，此次《梅赛德斯-奔驰安全研究报告》仅是360护航车联网安全的一个缩影。

2018年，360智能网联汽车安全大脑已被选入工业互联网创新示范试点工程项目，在行业内起到指导性意义。
2019年，360与紫光共同研发了汽车安全专用安全芯片，该芯片同时符合车规级与金融级的安全标准，具备低功耗、高性能和高可靠的特点，支持国际、国密安全算法。
2020年3月，360与中国汽研达成战略合作，围绕车联网领域测试评价、安全认证、标准体系、产学研平台一体化展开合作。

作为国内80%自主品牌汽车的安全解决方案提供者，360实力通过持续为汽车行业提供应用服务、工具服务和专家服务，部署在车联网环境中的威胁检测与响应引擎，持续对车辆及车联网云平台进行威胁感知、分析、响应，发现车联网中的异常事件、攻击行为，阻断黑客对车联网的攻击，下发并配置安全策略，免疫攻击行为，形成车联网全生命周期安全防御体系，护航“人-车-路-云”场景下车联网环境的安全。

目前，车联网安全整体仍处于起步阶段，需要汽车界的共同参与和相关产业的联动，360愿不断输出自身安全能力，基于多年核心实力，凝聚行业力量，加大研发与创新。

关于360 Sky-Go安全团队

360 Sky-Go（智能网联汽车安全实验室）是国内首支关注汽车信息安全领域的顶级安全团队，团队一直致力于车联网安全研究，与高校、研究机构、汽车厂商共同探索产学研一体的协同技术革新的合作模式。

截止目前，先后与一汽，长安，特斯拉，东风日产，吉利，博世，比亚迪等众多汽车制造商和供应商达成合作，以提升智能汽车安全性。

关于本次研究的过程和细节，请点击阅读原文下载查看！




阅读原文


来源  360企业安全

支持😊

了解