2018-车联网安全方案v1

梆梆安全车联网方案梆梆安全2018年4月

目录1、公司 3起源 3客户认可 3市场地位 3转型IOT 3安全服务 4车企客户 42、解决方案 52.1安全需求 52.1安全事件 72.1.1IVI入侵（切诺基） 72.1.2OBD入侵（科尔维特） 92.1.3云端漏洞（宝马云端） 122.1.4通信安全（特斯拉） 142.3安全方案 162.3.1端点安全 162.3.2通信安全 182.3.3渠道情报 273、业务套餐包 273.1标准包 27移动端 28Tsp云端 283.2高级包 28移动端 28Tsp云端 283.3VIP包 29移动端 29部件安全 29TSP云端 30参考文档 311车架构 312渗透测试 36App部分 36Tbox/HU部分 36TSP渗透 37业务交互渗透测试 373案例集 38

1、公司起源2010年创建，发布手机安全互联网免费安全产品-梆梆助手，作为初创公司成功切入移动应用安全市场。原创团队，原始创建团队，来自intel（CTO）、symantec（CEO和研发）、国内安全公司启明/深信服（营销和客户服务），约70%属于技术团队；客户认可2014-2015改成toB的公司专注企业移动应用安全，获得银行业为代表的客户认可；大约200家商业银行（含建设银行、交通银行、招商银行在内的客户认可及产品使用）梆梆安全在2014年-2015年，在以银行为代表的应用加固市场获得了广泛认可的同时，也收获了约8亿手机/70万应用的客户认可基础，为IOT的拓展打下了基础。市场地位垂直领域的技术优势：国家移动应用安全领域多个领先资质，同时为领先为CNND的漏洞库，在政府层面面临的公安部/测评中心获得认可，协助金融行业的移动应用安全标准建立。目前我们与中汽中心，一起起草网关、通用安全、充电桩等安全标准。转型IOT2016-2017年，凭借在andriod/ios、嵌入式linux系统平台上的安全能力（防护技术，应用加固、密钥保护），联合北航、北大车学院强势启动IOT领域安全的介入，主题思想是凭借之前的行业积累，与高校科研力量、国家行业主管部门协同，为关键性企业提供IOT解决方案与服务。在关键行业（金融业、运营商、政府）获得广泛认可，品牌价值超过30个亿2018年提出，一体两翼（以应用安全为体，IOT和安全服务作为扩展的两翼持续服务持续增长的企业安全市场。 IOT安全市场的特点：在这个环境中，系统环境为低计算密度、低成本压力、低功率要求，这样导致安全成本必须在适度的环境相符合。梆梆安全提出泛边界安全等技术体系，支撑安全在此环境的能力导入。安全服务经过多年的发展，梆梆安全已经形成成都、北京、武汉三个主要的研发中心，约17条安全产品线，7x24小时服务于中国区及海外客户。在重点客户中，如独角兽企业，大疆无人机和小米公司均为我司客户。以大疆无人机为例，其主要的产品已卖到全球主要地区，用于空间防卫、物流运输、农业等多个业务场景，我司安全防护服务为其机上软件提供防护服务，以及适配到不同的andriod平台，适配防护在更多平台的兼容性保护。而小米枪战作为2017年的火爆游戏，梆梆安全也同样服务于其的防护市场，用于对抗外挂攻击的各类场景。这些服务由于客户数和使用频率的原因，都要求7x24小时的响应服务。车企客户主机厂合作历程在多年的IOT运作中，我们也同样收获了汽车企业IOT客户，如：2014年，就与比亚迪形成了战略合作，帮助其加固其车载系统app。并经过多年的合作，纵深到工程院、研究员、信息系统等多个部门的立体合作，帮助比亚迪面对持续增加的安全风险和挑战，为其提供适配的安全方案提升其防护、诊断风险和应对能力。2015-2017年，三年期间，相继与宇通客车、北汽新能源、江淮汽车等多个车企。经过多年的耕耘，梆梆安全的加固产品线成熟落地车企（为其提供渗透测试、应用加固、密钥保护、源代码保护等），同时在2017年成功推动IVI预警系统、车信息系统风险评估等，扩展在车企后端业务系统的安全方案和车部件安全方案，为持续纵深为车企安全服务和案例提供防护。梆梆车企进行时互联网汽车与传统车厂目前，梆梆安全正持续与小鹏汽车、斑马汽车等互联网车企，密切沟通，助力其互联网车的颠覆之旅，同时与联友、广汽、上汽等传统车企一起面对网联化带来的挑战。上游企业与客户共舞的同时，梆梆安全与ARM、trustonic密切关注智能终端的下一代解决方案的落地，为迎接以ECU、网关、adas时代的安全威胁做好储备。2、解决方案纵观车的威胁，主要分为几个部分（从事件解析中可以观察）：2.1安全需求智能汽车是新一轮科技革命背景下的新兴技术，集中运用了现代传感技术、信息与通信技术、自动控制技术、计算机技术和人工智能等技术，代表着未来汽车技术的战略制高点，是汽车产业转型升级的关键，也是目前世界公认的发展方向。随着智能车联网时代的到来，整车厂对用户提供的服务和业务越来越多的通过车载系统（IVI、Tbox、TSP）移动客户端途径展开，车载系统、通信管道、云端TSP逐渐成为典型地为车主及其出行服务的主体渠道。智能车系统信息安全根据其架构发展趋势，主要分为2个阶段，一个是联网时代，一个智驾时代，联网时代的信息安全风险主要来自网络接入的信息风险，此阶段的车开始介入tsp（通过移动端、云端）与车进行整体交付，车本身受到器件发展阶段的影响，更多的依赖移动端和云端的新技术提供。而智驾时代，车本身的芯片和处理能力，以及道路、充电装、车与车的交互更加强大，车自身的防御能力增强，其特点又有所不同。目前车安全的法律法规、行业发展增速、信息安全产品尚未成熟等多个因素，使得信息安全更多地依赖车厂自身的安全意识和风险特征来进行信息安全体系的构件，而车的风险主要由于云端和通信端的介入等导致风险的加剧。因而有必要对以车为端点、云端为控制、信息流量管控为主线的安全体系建设。从网联车的架构来看，车端点主要接触面有tbox、IVI、手机app、蓝牙/wifi、OBD等几个环节，云端作为生态系统和车功能的承载点为车提供信息服务和运行服务，而网络端则为这一些提供多个场景的通信管道，以下为车风险的概要描述。端点名称风险点描述TboxTbox作为网关入口，主要流量经此通过，是主要入口攻击大多数由此进入车属性信息、通信控制信息、IVI为车提供生态信息服务开发生态导致数据泄露和恶意攻击生态服务信息导入（地图系统/车主消费系统）OBD作为诊断接口，容易导致私人数据泄露和恶意代码入侵维修服务的风险导入WIFI、蓝牙、4G网络作为网络通道，容易导致中间人攻击或网络流量窃取运营商提供Tsp提供信息防护，阻止拒绝服务攻击及仿冒攻击车厂提供据此需要对整个安全体系进行保护：tbox，可信tbox端点防护（待构建）ivi，对于可以流量进行app层级的监控（待构建）app威胁检测，对手机端的威胁行为进行监测、分析，并与风控联动。（待构建）wifi/蓝牙/4G，通过流量加密和关键数据保护实现管道安全（待构建）2.1安全事件2.1.1IVI入侵（切诺基）2015年，在安全研究人员现场成功演示黑掉一辆切诺基吉普车之后，克莱斯勒公司紧急召回了140万辆可能受影响的汽车。安全专家ChrisValasek和CharlieMiller通过演示（著名记者AndyGreenberg作为见证者参与其中）证明了汽车黑客攻击将会一个令人恐怖的现实——在记者Greenberg正常驾驶车辆的过程中，黑客突然控制了这辆2014年产的切诺基吉普车，操控了方向盘、刹车、发动机、汽车信号、挡风玻璃雨刷、燃料、车门锁，以及重置时速表和转速表，并能够控制变速器。由于UConnect信息娱乐系统中存在着漏洞，攻击者可在任何地方获得汽车的控制权。目前菲亚特克莱斯勒公司紧急在美国召回了140万辆汽车。召回汽车型号

美国国家公路交通安全管理局（NHTSA）也调查了这一召回事件，以确定菲亚特克莱斯勒召回2014切诺基吉普车的真实性。媒体注意到的一个异常是该公司召回切诺基的数量。尽管安全专家预计只有40万辆汽车受该漏洞的影响，但是菲亚特克莱斯勒却召回了140万辆汽车，其中包括：1、2013-2015年道奇Viper特种车辆2、2013-2015

Ram

1500、2013和2015皮卡3、2013-2015

Ram

3500、2013、2015底盘出租车4、2014-2015吉普大切诺基和切诺基SUV5、2014-2015道奇杜兰戈SUV6、2015

MY克莱斯勒200、300和道奇充电器轿车7、2015年道奇挑战者运动跑车2.1.2OBD入侵（科尔维特）2016年，克莱斯勒被Charlie

Miller&Chris

Valagek联手破解的事件似乎打开了一个开关，通用、特斯拉纷纷中招，还有黑客发现了可以在品牌之间无差别攻击的手段。黑帽大会+USENIX安全会议，也公布了一个又一个让车企们胆跳心惊却还要表现得面不改色的安全漏洞。随着联网功能、近场通讯手段的愈加增多，汽车上可被攻击的地方也越来越多。要攻破一辆汽车的防线，能从哪些方面入手？汽车制造商和供应商们又该怎么防止入侵呢？车云菌将以近段时间被公开的案例为引，逐步给出解答。黑帽大会连着USENIX安全会议，汽车制造商与相关的供应商们也跟着揪了一把心——汽车被破解入侵事件接连不断。继克莱斯克被召回、通用Onstar安全漏洞、特斯拉破解攻防战之后，在这周召开的USENIX安全会议上，来自加州大学圣地亚哥校区（University

of

California

at

San

Diego，下称UCSD）的一个研究团队，又公布了他们的一个最新研究案例：以OBD为入口入侵汽车，这一次跟着一起躺枪的是依然是归属于通用的一个品牌——科尔维特。UCSD的入侵情况先看看这次UCSD研究团队是怎么入侵的。他们研究的OBD装置是被一家名为Metromile的创业公司提供给用户的产品。关于这家创业公司，模式为利用OBD监控驾驶行为的UBI车险，根据车辆的驾驶里程来收保险费。他们提供给用户的OBD生产方是一家法国设备制造商，名为Mobile

Devices。研究团队利用这款OBD设备，入侵了一辆2013年款的科尔维特，而这个入侵方式相比那些要拿个电脑出来的，就简单多了。在入侵过程中，研究员只用到了一款手机，而控制方式则是发送短信，短信内包含控制命令。通过这种方式，UCSD的研究员成功实现了打开与关闭车辆的雨刷器、控制车辆刹车以及让刹车失灵。短信是从手机发送到OBD所使用的SIM卡卡号上，这块SIM卡接受了控制命令之后，再通过OBD端口传送到车辆的CAN总线上，实现以上功能的控制。当然，好消息是，研究员们也表示，控制刹车的方式受到了事先设定在行车电脑中的速度上限的限定，因而只能在低速下发挥作用，也就表示了这种入侵并不会带来安全上的隐患。在发现设备的弊端之后，UCSD团队在今年六月份联系了Metromile，告知了其产品存在的缺陷。Metromile则是与供货商Mobile

Devices联系，由Mobile

Devices提供了一个安全补丁，Metromile通过OTA方式对设备进行了更新。但是问题又来了，更新之后，团队依然通过搜索工具Shodan（可以搜索到指定类型的硬件设备）搜索到了属于Metromile的，以及其他一些来自Mobile

Devices的设备。这些设备大部分位于西班牙。尽管Mobile

Devices并没有回应连线杂志对此的询问，但是连线杂志根据设备所在地以及Moblie

Devices的合作关系猜测，这些设备是来自于Mobile

Devices在西班牙的合作伙伴Coordina（一家车队管理公司）。Coordina并没有对此做出解释，反倒是其管理方案提供商TomTom

Telematics发布了一份公告。公告中提到UCSD的攻击只有在旧版本的设备上才会生效，而他们所使用的旧版本设备数量并不多并正在逐步替换掉。TomTom

Telematics的总经理Thomas

Schmidt表示，他们使用的设备中SIM卡号并非是公开的号码，因此并不能从普通手机上直接发送短信。不过，研究团队的回复是，号码不公开并不是什么大事，曾经就通过暴力破解的方式直接发送了短信控制命令，完全不需要知道具体的SIM卡卡号是多少。尽管这种方式他们还没有在Coordina的设备上进行测试，不知道是否能够生效，但很明显，利用OBD漏洞入侵车辆，这事儿还没完。这次入侵表现出来的安全问题利用OBD入侵车辆的事件并非首例。最早在汽车还没有联网的时候，通过物理接触的方式去破解汽车内部协议，大多都是车上的OBD端口。所以，在有OBD设备之后，尤其OBD设备大多都有互联模块，能够通过各种方式与其连接，被盯上实在是件顺理成章的事情。在安全会议上公布这项案例之后，美国连线杂志对UCSD的团队进行了采访。根据连线的报道内容，团队中的计算机安全教授Stefan

Savage表示，在研究Mobile

Devices的设备之后，对其进行了反编程，发现其整体上就缺乏安防措施，而最大的两个隐患表现在两个方面：1.

OBD设备有一个开发者模式，允许任何从网络上发现此设备的人能够通过SSH（从电脑进行远程控制的公共协议）的方式远程接入。所有的OBD设备使用同一个私钥，因而黑客们可以在任一设备上很快获得root权限（系统最高权限）。2.

OBD可以通过短信的方式接受指令。短信不需要经过任何验证，可以通过手机发送指令直接更改OBD的固件设置，向汽车CAN总线发布命令。UCSD研究人员表示利用这两个bug，他们能够劫持任何车型的转向与刹车系统，而并不是只针对Corvette这一个品牌。如果只是看到这里，似乎得到的结论就是，一块不注重安防手段的OBD设备，能够毁了一款车的安防系统。但事实上，却并没有这么严重。OBD提供的只是黑客入侵车辆的一个入口功能，但是真正地操控汽车，获得车辆核心功能（转向、制动、启动等）还是需要破解车辆的内部协议才行，而并非接入一块OBD设备所能够做到的。那么UCSD团队是如何控制这辆科尔维特的呢？首先是Mobile

Devices的OBD设备。从国内一名测试过这块设备的软件工程师处了解到，Mobile

Devices的OBD上使用的是Linux系统，他们家的OBD设备相当于手机里的iPhone，功能多、相对来说智能。但是Linux是黑客们非常熟悉的OS，所以一旦有什么漏洞，都能够很容易被发现。这款OBD上的权限问题就是因为其设置不当而被发现的。另外一个漏洞来自于短信方式控制的弊端。通过短信方式进行配置有一个最大的好处是简单方便，并且稳定性高，保证达到。尤其车辆在高速行驶，或者网络基站布置不够的时候，网络连接会很不稳定。但是弊端就在于太不安全，不需要进行任何验证，只要知道配置的命令就可以了，而Mobile

Devices的开发文档，在其网站上是公开的。如果能够采用HTTPS的网络方式，破解起来就要难得多了。然后就是车企了。对于这次案例，雪佛兰并没有进行回应。但是从UCSD可以控制的内容上来看，虽然控制了刹车，但是受限于ECU的设置，只能在低速下接管，这个速度，有国外媒体报道是5km/h。至于雨刷器，这在CAN总线上只是一个开关功能，相对容易破解。而关于刹车传动这类核心功能，其底层控制并没有被放在CAN总线上，所以，这次的入侵，也只停留在了表面，内部安防线并没能被长驱直入。在UCSD研究员提到这个攻击并非只针对科尔维特的时候，提到的车型是丰田普锐斯和福特翼虎。而这两款车型，在2年前被Charlie

Miller与Chris

Valasek的组合破解之后，其车辆内部协议就可以在网上直接找到了，所以他们才说，“这些车型是有现成的攻击方式可以用的”。车云小结可以得到的结论依然是类似的，OBD设备确实本身并不安全，给黑客们提供了一些漏洞，但是好在，真正攻击到车辆内部，仅仅有OBD，还是不成的。不过值得注意的是短信通讯。这种方式并非仅仅在OBD中使用，在相当一部分车载系统中，也同样采用了这种方式。值得欣慰的是，丰田普锐斯和福特翼虎的协议虽然已经被公开，但是这两年来，还并没有发生相关的安全事件。这也回到一个老观点，目前的车辆对于真正的黑客来说，还没有产生足够的吸引力。但是随着OBD设备从民用车到官方用车（白宫在今年三月份表示要给车队装上OBD以提到车辆使用效率），随着人们在车载系统中留下的隐私数据与钱逐渐挂钩，对于这个特殊人群来说，才有了真正的需求。2.1.3云端漏洞（宝马云端）ConnectedDrives是宝马车载信息娱乐系统，该系统可以通过移动APP来管理车辆。除了APP外，该系统还提供了配套的Web应用。Vulnerability实验室的安全研究员BenjaminKunzMejri在向宝马官方提交漏洞五个月后（官方还是没打补丁），昨日公布了ConnectedDrive的两个Web0day漏洞。漏洞1：会话劫持这是一个会话漏洞，恶意用户可以借此获取另一用户的VIN（车辆识别号）。VIN是车辆匹配用户账户的ID号，VIN码被用于将ConnectedDrive设置备份到他们自己的账户上。在Web网站上改变这些设置后，系统就会将改变同步到汽车和连入的移动APP里。Mejri表示他这种攻击可以绕过VIN会话验证，然后使用另一个VIN接入访问以编辑其他用户的汽车设置，具体的流程如下：1.打开宝马connecteddrive的WEB界面，然后进行登录操作：https://www.bmw-connecteddrive.co.uk/cdp/2.浏览MySettings模块3.开始运行会话tamper，包含一个新的随机VIN4.保存请求，并操纵会话tamper，添加需要的值5.继续进行GET请求6.现在该模块打开了，而VIN码的限制也就被绕过了7.你现在可以向接口添加自己的VIN，用同一VIN码来添加另一辆车到这里，你就可以成功地复现这个影响宝马车connecteddrive的漏洞了。ConnectedDrive的设置中有解锁/锁定车辆的功能，还包括管理歌曲播放列表、访问电子邮件帐户、规划路线，以及获取实时的交通信息等等多个实用模块。漏洞2：WEB的XSSConnectedDrive系统第二个漏洞出现在门户页面上重置密码处，也就是passwordResetOk.html文件。远程操作的黑客可以将自己的payload以GET方式发送过去，注入到该客户端WEB界面中。PoC如下：https://www.bmw.de/de/publicPools/landingPages/passwordResetOk.html?t=OiWU9ARpVXDXDjlRJ3tS6XxgnOvkFzRK%22%3E%3C[CLIENTSIDESCRIPTCODEINJECT!]iframe%20src=a%20onload=alert%28document.cookie%29%20%3C这个XSS漏洞可以用于窃取cookie、配合CSRF攻击、钓鱼攻击等等。Mejri表示他曾在2015年2月向宝马官方提交了这两个漏洞，但是官方并没有及时回复他的报告。于是乎，这位研究人员就选择公开了他的发现。如果你想了解更多的细节，可以看这里：第一个漏洞，第二个漏洞。大约一年前，安全研究员SamyKamkar曾透露，他的OwnStar汽车黑客工具箱，也可以用于攻击宝马的远程服务。2.1.4通信安全（特斯拉）入侵特斯拉ModelS是一件极为困难的事情，但并非不可能。上周，研究人员凯文·马哈菲(KevinMahaffey)和马克·罗杰斯(MarcRogers)的演示表明，他们能够远程对ModelS车门解锁，发动汽车，将车开走。他们还能够向ModelS发出一条“致死”命令，让ModelS关闭系统，然后停车。在本周举行的DEFCON安全大会上，他们向所有与会人士演示了如何做到这一切。困难重重研究人员之所以选择入侵ModelS，是因为他们相信“特斯拉ModelS将是所有未来汽车的原型”。马哈菲和罗杰斯发现，ModelS设计优良且安全。事实上，在他们50分钟的演示过程中，大约有40分钟是在谈他们入侵特斯拉汽车过程中遇到的死胡同。入侵过程从私下渠道购买一辆ModelS开始，然后小心翼翼地将仪表板拆除，以了解汽车内部的电子学设计。当系统内部设计展现在眼前后，他们发现了两个可拆卸的SD卡(一个用于存储地图数据，一个用于存储文件系统)，一个USB接头，一组诊断端口以及一条神秘的专用电缆。研究团队试图通过USB接头访问系统固件，但发现固件已被锁定，无法侵入。通过研究SD卡数据，他们发现ModelS的仪表盘软件使用了一种QtWebKit浏览器版本，该浏览器近期曾被用于入侵索尼PSVita掌机。不过，特斯拉已经对该浏览器的漏洞进行了修补。研究团队遇到了又一死胡同。然而，在同一张SD卡上，他们发现了一个名为carKeys.tar的文件。文件中包含无钥匙进入和启动ModelS所需要的数位钥。这只是首个待解谜团，随后研究团队又遇到了一系列死胡同。在软件中，研究人员发现了一个可以直接从特斯拉服务器中下载汽车固件的链接，但是它只能在汽车连接至网络后，通过特斯拉“Mothership”服务器创建的虚拟专用网络访问。借助特斯拉汽车自主通讯网络以外方式，研究人员无法将数据下载到PC上。突破口入侵过程进展缓慢，直到研究人员发现，上文提到的神秘端口仅仅是专用以太网接口。通过入侵适配器，马哈菲和罗杰斯进入到了ModelS的供电和车载网络(onboardnetwork)中。在将汽车连接至网络交换机后，他们就可以侵入到特斯拉的内网，使用其VPN连接到特斯拉服务器，下载和反编译固件。作为对特斯拉汽车解锁的关键，系统固件指向了少量不安全存储在数据文件夹中的密码。下一个被发现的弱点则是每辆ModelS都内置的WiFi网络。特斯拉对汽车进行了编程，以让后者在任意特斯拉服务中心都能自动连接至无线网络。该网络的名称为“TeslaService”，使用了一种静态网络密钥。通过相对简单地入侵“TeslaService”，研究人员现在将汽车连接至无线网络。（1）Wi-Fi静态密码：特斯拉服务中心名为TeslaService的Wi-Fi（特斯拉会自动连接Wi-Fi）采用了汽车之间共享的静态密码，最好能改为WPA企业认证，这样就不用在汽车之间采用相同的静态密钥。（2）边界安全模型：ModelS具有非常强的边界安全，但是内网的安全性不高，设计者应该假设攻击者可以获得信息娱乐系统网络，虽然进入网络并不能造成太大影响。（3）明文存储认证信息：VPN密钥和安全令牌都以明文的方式存储在文件系统中，如果将这些关键信息存储在硬件安全模块（如TPM，TrustedPlatformModule）中会更安全。纵观整体车安全，IVI、tbox、tsp、OBD、通信等多个威胁入口，是支撑网联车重要威胁来源。2.3安全方案梆梆安全的渗透测试，用于评估整体车的风险，基于PPDR的车解决方案。P（预测）：云端威胁预警云平台（Secaas）提供云安全。P（保护）：提供端点（手机端、Tbox端）、通信（密钥）的保护。D（检测）：为车企提供andriod系统检测平台,并提供渗透测试服务，发现车风险和缺陷；R（响应）：提供基于业务风控（stride）的集成安全工具的驻场服务。2.3.1端点安全手机端针对手机app\OBD安全防护业务场景1：手机app车载系统中，app处于云端、车端的两者之间，app通过云端与车端交互App风险：如果app被入侵，就会假冒车主app欺骗云端，获取车数据威胁车机安全移动app-andriod/IOS有明确的防逆向、二次打包/篡改、动态攻击的防御技术。业务场景2：OBD诊断appOBD作为外部的开放诊断接口，容易被非法获取车数据，而OBD本身的诊断软件商也存在移动pad的程序，与OBD互动，这些pad程序存在对外传播风险，如果这类app没有被施加保护，OBD就成为车技数据和车架构泄密的渠道，从而为入侵车打开接口。App防护：对此类app进行防护，可以使得非授权或篡改app行为无法进行。部件端IVI的安全防护IVI（INvehicleinfotraiment），是生态系统的入口，一般的架构是pad+若干app组成，如地图系统，导航系统，车管系统。这个环境与车内网关相连，并与tbox联动到云端。风险点1：IVI是一个生态环境，容易遭受到各类andriod的攻击方案1运行检测：入侵检测：梆梆安全，提供基于IVI环境（andriod/Linux）级别的入侵检测引擎，该引擎部署在IVIOS环境，对于非法提权、进程冒用、文件非授权使用等8个场景（可根据车厂不同架构增加场景定义）进行侵入检测且可以根据要求自定义安全事件；根据IVI环境定义安全防护策略，策略管理端在云端（入侵检测云端）；方案2运行检测：渗透测试，提供基于IVI的薄弱点渗透测试，识别IVI环境的各类业务风险，有针对性进行安全防护；风险点2：IVI是一个生态环境，对于支付等关键业务需要一个可信环境*TEE）方案-TEE环境：提供TEEOS（目前支持ARM芯片），提供TA（teeapplication）的迁移；Tbox的安全防护Tboxtelemetricbox，是连接tsp云端或其他云端的关键网络出口，一般由4G模组（NXP、高通芯片）组成。这个部分防护属于硬件级别的防护。风险点：所有基于IOT固件层面（tbox为固件环境为主），其入侵都是首先对加载进行入侵，即入侵loader层面的脚本，倒入恶意代码才能完成持续攻击。防护方案：梆梆在tbox层面提供可信加载os、可信加载app、二进制防护、源代码混淆四个解决方案实现tbox固件层级的防护。可信加载通过关联完整性校验使得非法load篡改失效或无法篡改。分OS和app两个层面。二进制防护则提供插入防卫代码使得程序执行逻辑无法绕过或完整性校验，从而保证二进制程序无法被篡改。源代码混淆，则在软件源代码层面做独有混淆引擎处理，做到入侵者无法读取业务逻辑或关键业务处理过程（如关键算法等），进而保护固件安全。云端手机App端威胁的云服务（数据分析）部署在云端，支撑手机端的防护侦测和数据分析IVI预警云服务（安全管理）部署在云端，在tsp层面为车企提供安全策略、安全事件定义、报警等安全云服务。2.3.2通信安全通信协议保护，利用专利白盒密钥保护技术，实现tsp至车端/app端的关键数据保护。中间人攻击中间人攻击（Man-in-the-MiddleAttack,MITM）是一种由来已久的网络入侵手段，并且在今天仍然有着广泛的发展空间，如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。简而言之，所谓的MITM攻击就是通过拦截正常的网络通信数据，并进行数据篡改和嗅探，而通信的双方却毫不知情。随着计算机通信网技术的不断发展，MITM攻击也越来越多样化。最初，攻击者只要将网卡设为混杂模式，伪装成代理服务器监听特定的流量就可以实现攻击，这是因为很多通信协议都是以明文来进行传输的，如HTTP、FTP、Telnet等。后来，随着交换机代替集线器，简单的嗅探攻击已经不能成功，必须先进行ARP欺骗才行。如今，越来越多的服务商（网上银行，邮箱登陆）开始采用加密通信，SSL(SecureSocketsLayer

安全套接层)是一种广泛使用的技术，HTTPS、FTPS等都是建立在其基础上的。中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）中间人攻击很早就成为了黑客常用的一种古老的攻击手段，并且一直到今天还具有极大的扩展空间。在网络安全方面，MITM攻击的使用是很广泛的，曾经猖獗一时的SMB会话劫持、DNS欺骗等技术都是典型的MITM攻击手段。在黑客技术越来越多的运用于以获取经济利益为目标的情况下时，MITM攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。信息篡改当主机A、和主机B通信时，都由主机C来为其“转发”，如图一，而A、B之间并没有真正意思上的直接通信，他们之间的信息传递同C作为中介来完成，但是A、B却不会意识到，而以为它们之间是在直接通信。这样攻击主机在中间成为了一个转发器，C可以不仅窃听A、B的通信还可以对信息进行篡改再传给对方，C便可以将恶意信息传递给A、B以达到自己的目的。信息窃取当A、B通信时，C不主动去为其“转发”，只是把他们的传输的数据备份，以获取用户网络的活动，包括账户、密码等敏感信息，这是被动攻击也是非常难被发现的。实施中间人攻击时，攻击者常考虑的方式是ARP欺骗或DNS欺骗等，将会话双方的通讯流暗中改变，而这种改变对于会话双方来说是完全透明的。以常见的DNS欺骗为例，目标将其DNS请求发送到攻击者这里，然后攻击者伪造DNS响应，将正确的IP地址替换为其他IP，之后你就登陆了这个攻击者指定的IP，而攻击者早就在这个IP中安排好了一个伪造的网站如某银行网站，从而骗取用户输入他们想得到的信息，如银行账号及密码等，这可以看作一种网络钓鱼攻击的一种方式。对于个人用户来说，要防范DNS劫持应该注意不点击不明的连接、不去来历不明的网站、不要在小网站进行网上交易，最重要的一点是记清你想去网站的域名，当然，你还可以把你常去的一些涉及到机密信息提交的网站的IP地址记下来，需要时直接输入IP地址登录。要防范MITM攻击，可以将一些机密信息进行加密后再传输，这样即使被“中间人”截取也难以破解，另外，有一些认证方式可以检测到MITM攻击。比如设备或IP异常检测：如果用户以前从未使用某个设备或IP访问系统，则系统会采取措施。还有设备或IP频率检测：如果单一的设备或IP同时访问大量的用户帐号，系统也会采取措施。更有效防范MITM攻击的方法是进行带外认证，具体过程是：系统进行实时的自动电话回叫，将二次PIN码发送至SMS（短信网关），短信网关再转发给用户，用户收到后，再将二次PIN码发送到短信网关，以确认是否是真的用户。带外认证提供了多种不同的认证方式及认证渠道，它的好处是：所有的认证过程都不会被MITM攻击者接触到。例如MITM是通过中间的假网站来截获敏感信息的，相关的“带外认证”就是指通过电话认证或短信认证等方式确认用户的真实性，而MITM攻击者却不能得到任何信息。当然，这种方式麻烦些DNS欺骗（DNSSpoofing），就是其中的一种惯用手法。攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域名对应的IP解析为攻击者所控制的机器，这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上，这时攻击者就可以监听甚至修改数据，从而收集到大量的信息。如果攻击者只是想监听双方会话的数据，他会转发所有的数据到真正的目标机器上，让目标机器进行处理，再把处理结果发回到原来的受害者机器；如果攻击者要进行彻底的破坏，他会伪装目标机器返回数据，这样受害者接收处理的就不再是原来期望的数据，而是攻击者所期望的了。例如让DNS服务器解析银行网站的IP为自己机器IP，同时在自己机器上伪造银行登录页面，那么受害者的真实账号和密码就暴露给入侵者了。如此说来，这种攻击理应是最强大最危险的，然而实际上它却很少派上大用场，为什么，因为DNS欺骗的攻击模型太理想了。在实际生活中，大部分用户的DNS解析请求均是通过自己的ISP服务器进行的，换句话说，就是系统在连接网络时会获取到ISP服务器提供的DNS服务器地址，所有解析请求都是直接发往这个DNS服务器的，攻击者根本无处入手，除非他能入侵更改ISP服务器上DNS服务的解析指向。所以这种手法在广域网上成功的几率不大。当然，这种攻击的成功率也有例外存在，例如一个ISP服务器上存在Bind漏洞，攻击者就能通过Bind漏洞进入服务器更改掉DNS解析指向，甚至取得最高权限；另一种方法是入侵路由设备，修改里面的DNS服务器地址为自己控制的机器地址，这种方法只能在用户机器自身是通过路由器返回域名解析的情况下才能成功，多见于一些使用小区宽带连接Internet的用户，因为这种用户机器的DNS地址通常必须指向小区宽带内部的某台服务器地址或者交给路由进行转向，这时候只要攻击者入侵了路由或者那台关系到所有人的服务器修改掉DNS记录，整个小区用户的网络都完了。当然，攻击者不能把全世界网站都伪造到他硬盘上，他只需要改几个重要商务站点的指向即可，这样便可导致用户访问某些商务站点时被转向到攻击者的机器去。但是，这种攻击手法同时对攻击者自身也是一种伤害：如果小区内有许多用户都访问这些商务站点，则大量数据请求会疯狂消耗攻击者的机器资源，攻击者非但不能实时处理数据，更是面临着机器瘫痪和暴露自己的双重危险。会话劫持”（SessionHijack）是一种结合了嗅探以及欺骗技术在内的攻击手段。广义上说，会话劫持就是在一次正常的通信过程中，攻击者作为第三方参与到其中，或者是在数据里加入其他信息，甚至将双方的通信模式暗中改变，即从直接联系变成有攻击者参与的联系。简单地说，就是攻击者把自己插入到受害者和目标机器之间，并设法让受害者和目标机器之间的数据通道变为受害者和目标机器之间存在一个看起来像“中转站”的代理机器（攻击者的机器）的数据通道，从而干涉两台机器之间的数据传输，例如监听敏感数据、替换数据等。由于攻击者已经介入其中，他能轻易知道双方传输的数据内容，还能根据自己的意愿去左右它。这个“中转站”可以是逻辑上的，也可以是物理上的，关键在于它能否获取到通信双方的数据。典型的会话劫持是利用TCP/IP的工作原理来设计攻击的。在谈TCP/IP会话劫持前先解释一下TCP/IP用于确认数据传输的判断机制。许多人一定都有过这样的疑问：TCP/IP是使用点对点（PointtoPoint）连接进行数据传输的，但是它是如何知道上一条数据和下一条数据存在的联系的呢。如果发送数据后不慎掉线，恰好另一个人接着IP地址连接到了Internet，那他会不会收到服务器返回数据。其实只要看过TCP/IP协议的书籍就会明白，TCP协议采用了两种条件来确认每条已经建立连接的TCP通道，第一个是基础连接确认，即TCP连接中的四大必备条件：源IP、源TCP端口、目标IP、目标TCP端口；第二个条件是“序号标识”（Sequencenumbers，SEQ），它们是成对出现的，分为“Sequence”（SEQ，序号字段）和“AcknowledgementSequence”（ACKSEQ，确认序号字段），TCP每次建立一个连接时，会给双方指定这样一条规则：序号字段指出了本报文中传送的数据在发送主机所要传送的整个数据流中的顺序号，而确认序号字段指出了发送本报文的主机希望接收的对方主机中下一个八位组的顺序号。（这里可能比较难理解，可以举个不专业的例子解释：流水线上的工人被规定好了每人负责安装8个不同的零件，则每次传输到他们手上的都应该是只留下给他们安装的8个零件位置，这就是序号字段；而下一个工人则被规定在前一个工人的基础上安装另一个部分的8个零件，这就是确认序号字段，如果这个工人发现传到自己手上的产品多了或少了零件，则说明前一个工人出错，这个产品就被从流水线提取出来返工，这就是TCP对序号的严密审查和丢弃制度）。TCP如此谨慎，就是为了避免出现前面提到的假设，虽然这种假设发生的几率很小（需要满足TCP的基础连接确认条件），但是它总有机会发生的。然而不幸的是，这对序号是可以预测的，因为TCP必须遵从以下守则：一台主机即将发出的报文中的SEQ值应等于它所刚收到的报文中的ACKSEQ值，而它所要发送报文中的ACKSEQ值应为它所收到报文中的SEQ值加上该报文中所发送的TCP数据的长度，即两者存在“本次发送的SEQ=上次收到的ACKSEQ；本次发送的ACKSEQ=上次收到的SEQ+本次发送的TCP数据长度”的联系。知道这个规律后，攻击者就不难发起“中间人攻击”了，他只需要设法监听到受害者TCP连接中的第一个条件（源IP、源TCP端口、目标IP、目标TCP端口），就可以得知其中一台主机对将要收到的下一个TCP报文段中SEQ和ACKSEQ值的要求，这样攻击者就能在原来的合法主机收到另一台合法主机发送的TCP报文前根据所截获的信息向该主机发出一个符合条件二（序号标识）的TCP报文，如果该主机先收到攻击报文，就会受到欺骗而把合法的TCP会话建立在攻击主机与被攻击主机之间，而且攻击报文会让被攻击主机对下一次要收到的TCP报文中的确认序号值的要求发生变化，最终使另一台合法的主机向被攻击主机发出的报文被拒绝，这种模式被称为“主动劫持”。换句话说，就是其中一方合法主机被攻击者掠夺了连接的权限，而攻击者却成为了合法的连接方之一。这种会话劫持让攻击者避开了被攻击主机对访问者的身份验证和安全认证，从而使攻击者直接进入对被攻击主机的的访问状态，因而危害严重。例如，你刚向某站点发送完账户密码，就被攻击者抢先冒充你的TCP连接上了，那你的损失可就难预料了。不过，会话劫持对网络环境的一点要求可以让大家松口气，它必须在使用MAC寻址的网络环境中才能发挥作用，必要时还要配合ARP协议欺骗，能同时满足这两个条件的只有局域网。而广域网不是靠MAC地址来查找计算机的，因此攻击者很难从现有的广域网结构里插入到某两台计算机之间。代理服务器代理服务器（ProxyServer）的存在已经是很长久的事实了，而且由最初的几个基于TCP/IP协议的代理软件如HTTP、SMTP、POP3和FTP等发展到SSL、SOCK4/5以及其他未知的代理类型，可谓给一些特殊用途者提供了极大的方便。例如，通过代理跨过某些服务器的IP屏蔽，从而浏览到本来不能看到的信息；或者害怕自己IP暴露被对方入侵而寻找层层代理把自己包裹起来；还有些是因为系统不支持Internet共享而被迫采用代理软件来让内部网络的计算机能正常连接Internet……此外还有许多原因，让各种代理服务器经久不衰。代理服务器相当于一个透明的数据通道，它根据客户发来的“要求连接某计算机”的请求数据，进而用自己本身作为原客户机器去连接目标计算机，在目标计算机返回数据后，再发送给原客户，这时目标计算机获取到的是代理服务器的IP，而不是原客户IP，从而实现突破IP屏蔽或者让对方无法获取你的真实IP。简单举个HTTP代理服务器工作的原理：IE发送一个包含目标URL的HTTP请求，代理服务器接收并析出HTTP报文里的目标URL和相关参数，然后把这个URL作为一次标准的HTTP连接过程与目标网站连接，获取目标网站返回的数据后缓冲到代理服务器的硬盘上，再把这些数据返回给客户端。请求连接目标URL>连接目标服务器>客户端代理服务器目标服务器<返回数据(缓冲)<返回数据其它协议的代理工作模式也都差不多，代理服务器充当了一个数据转向的工作站，相当于一个专门负责数据转发的“勤劳工人”。代理服务器的工作模式，正是典型的“中间人攻击”模型。代理服务器在其中充当了一个“中间人”的角色，通讯双方计算机的数据都要通过它。因此，“代理服务器进行的‘中间人攻击’”逐步成为现实，相对于其他“中间人攻击”方法，这种利用代理服务器暗渡陈仓的做法简直天衣无缝，攻击者可以自己写一个带有数据记录功能的代理服务程序，放到任意一台稳定的肉鸡甚至直接在自己机器上，然后通过一些社会工程学手段让受害者使用这个做了手脚的“代理服务器”，便可守株待兔了。这种方法最让人不设防，因为它利用的是人们对代理的无条件信任和贪便宜的想法，使得一个又一个“兔子”自动撞了上来，在享受这顿似乎美味的“胡萝卜”的同时却不知道安全正在逐渐远离自己。如果制作这个代理服务器的攻击者仅限于窥探数据，那么受害者的损失可能还能估量，但是如果攻击者在目标服务器返回的数据里加入一个带有木马程序的数据呢。例如在HTTP代理返回的HTML报文里加入一个MIME攻击漏洞代码，而受害者的计算机恰好没有打相应补丁，那么由此带来的损失就难以估量了，而且计算机技术不高的受害者也难以查出木马究竟是从哪里来的，因为很少有人怀疑代理服务器自身会有问题。总结无论是重放攻击、还是中间人攻击，都是对基于会话类的通信的关键数据（密钥、认证信息、业务关键信息）没有进行防护导致。梆梆安全通信协议保护技术，利用传统防御技术架构，假如白盒技术，通过强度关键数据混淆完成关键数据保护（业务/认证），确保两种攻击者需要高门槛攻击（无时间窗口），使得此类攻击失效或之难而退。技术要点密钥传输：密钥的传输必须使用安全报文的方式。通信协议保护sdk是梆梆在通信协议部分一个安全组件。采用通信保护协议密钥的传递进行控制：1、对app至密钥管理平台的数据交换2、对app至服务端的数据交换保护协议技术要点：Sdk方式集成，提供传输机密性、身份验证机制、消息完整性三个主要机制。传输机密性是采用多套密钥轮换机制提升协议安全离散性来实现。身份验证机制是对服务端、客户交互进行身份验证，借助包名/签名的唯一性来判断发送者身份；消息完整性用于防范非法篡改、中间人攻击，在报文中增加设备指纹，后对报文做整体哈希算法加密，实现消息完整性。使用场景密钥安全机制：采用白盒密钥加密算法，对通信密钥进行散列化加密处理，使得即使加密库被破解，破解者也无法还原真实密钥。动态加密算法：加密系统通过算法生成多套不同查找表，提升攻击难度；强度灵活配置：可以根据业务需求，配置不同强度加密策略。工作流程：1、开启通信协议保护后，对当前应用的签名进行验证，从客户端通信请求开始；2、对通信数据添加设备指纹及其它验证信息后，进行标准MD5算法和自定义移位算法加密，并将加密结果追加到数据尾部，然后使用梆梆安全密钥技术对其进行整体加密，发送加密数据；3、服务器接收到数据后使用密钥进行解密，将解密后的明文去掉尾部MD5值的数据，进行标准MD5和自动以移位计算，然后将计算结果和解密的明文数据中MD5值进行比对，如相等，则服务器处理请求，随后返回相应数据，并对返回数据进行加密处理。4、客户端获取服务端返回数据后，将对当前的签名验证，然后再通过安全密钥白盒对数据进行解密，产生明文后，继续完成相应的业务逻辑。

2.3.3渠道情报智能网联车，是一个非常热的领域，多个公开渠道对这些车部件（app、车部件、tsp、通信）进行信息的传播。 而车企如何运用这些信息渠道为自己所用，及时跟踪这些风险、舆情，及时对这些信息进行收集、分析、响应，可以为自身的产品安全带来积极的影响。梆梆安全提供app渠道检测、车风险舆情两个渠道情报方案，帮助车企解决现实情报收集，主动防御自身的车风险。渠道检测（app）对目标车app的应用市场（400家）进行发布包爬取；对爬去包进行安全比对（签名、类似度、发布源等）；结合自身包风控管理进行离线或在线安全比对，识别包风险；对可疑包市场进行跟踪，并及时下架风险包；对市场的车类app进行风险统计和监管评估，给标的包提供风险参照；舆情监测（标的车）选取主流互联网（车相关）爬取主要流量，并根据预先设计的关键字分类；对可疑的舆情（类似、相同、风险、攻击）作情报分拣；对舆情进行分析，并给出建议数据服务报告，跟踪标的车风险情报信息；其它按需的舆情处置措施和方案实现；3、业务套餐包3.1标准包主要针对基础安全能力的协助构建，根据网联车的安全风险特征（详细参看图1）功能特征：移动端移动app安全标准检测（公有云工具方式，1年内5次，app支持数2个）移动app安全防护（公有云工具服务方式，1年内3次，app支持数2个）Tsp云端白盒密钥云平台（私有云部署+终端SDK集成）（集成服务方式，1年license及7x24服务，app支持数2个）3.2高级包主要针对基础安全能力的协助构建，根据网联车的安全风险特征（详细参看图1）功能特征（在标准包基础上）：移动端移动app安全标准检测（工具方式，1年内不限数次，app支持数5个）或移动app安全标准检测工具私有云黑盒部署，1年内，1年内不限数次移动app安全防护（安全服务方式，1年内5次，app支持数5个）或移动app安全标准检测工具私有云黑盒部署，1年内，1年内不限数次通信协议保护组件（安全服务方式，1年内，app支持数2个）Tsp云端TSP白盒密钥云平台与SDK集成服务（集成服务方式，1年license及7x24服务，app支持数5个）TSP安全流量风险感知系统，即移动应用威胁感知标准版（安全服务方式，1年服务license，app支持数2个）3.3VIP包主要针对基础安全能力的协助构建，根据网联车的安全风险特征（详细参看图1）功能特征（在标准包基础上）：移动端移动app安全标准检测（工具方式，1年内不限数次，app支持数5个）或移动app安全标准检测工具私有云黑盒部署，1年内，1年内不限数次移动app安全防护（安全服务方式，1年内5次，app支持数5个）或移动app安全标准检测工具私有云黑盒部署，1年内，1年内不限数次通信协议保护组件（安全服务方式，1年内5次，app支持数2个）部件安全可信tbox监控云服务Tbox风险控制：tbox是未来的车机系统至tsp的关键入口。通过tbox的安全引擎植入，云端监测系统的部署，实现在网关级的数据入口监测。主要功能：实现固件层的