顶层设计|《车载信息交互系统信息安全技术要求》要点概览
有关专家表示,在汽车新四化背景下,智能网联的四项标准在遵从信息安全通用要求的基础上,以保障车辆安全、稳定、可靠运行为核心,主要针对车辆及车载系统通信、数据、软硬件安全,从整车、系统、关键节点以及车辆与外界接口等方面提出风险评估、安全防护与测试评价要求,防范对车辆的攻击、侵入、干扰、破坏和非法使用以及意外事故。
总体要求
车外通信接口
车内通信接口安全
应用软件运行安全
应用软件通信安全
数据存储安全
a)检查是否有存在暴露在 PCB 板上的 JTAG 接口、USB 接口、UART 接口、SPI 接口等调试接口,如存在则使用测试工具尝试获取调试权限;
b)拆解被测样件设备外壳,取出 PCB 板,通过 5 倍率以上的光学放大镜,观察网关 PCB 板,检查PCB 板硬件是否存在后门或隐蔽接口;
c)通过采用开盒观察方法,检查关键芯片管脚暴露情况,或审查相应文档,是否有减少暴露管脚的考量;
d)查看 PCB 布线及设计,检查安全芯片之间通信线路是否做隐蔽处理,检查敏感数据的通信线路数量或审查相应文档,检查通信线路是否有做隐蔽处理与减少通信线路数量的考量;
e)通过采用开盒观察方法,检查车载信息交互系统的电路板及电路板上的芯片是否存在用以标注芯片、端口和管脚功能的可读丝印。
a)采用网络数据抓包工具进行数据抓包,解析通信报文数据,检查车辆端与平台服务端或外部终端的通信有无身份认证;
b)采用网络数据抓包工具进行数据抓包,解析通信报文数据,模拟中间人攻击方式,检查车辆端与平台服务端或外部终端是否无法建立通信连接。
采用网络数据抓包工具进行数据抓包,解析通信报文数据,检查车辆端与平台服务端或外部终端间传输的数据内容是否经过加密。
a)采用网络数据抓包工具进行数据抓包,解析通信报文数据,模拟伪造签名的报文数据,触发身份鉴权失败,检查车载信息交互系统是否终止该响应操作;
b) 采用网络数据抓包工具进行数据抓包,解析通信报文数据,重发加密的数据,触发校验失败,检查车载信息交互系统是否终止该响应操作。
采用网络数据抓包工具进行数据抓包,解析通信报文数据,检查是否采用如TLS V1.2同等安全级别或以上要求的安全通信层协议。
a)对私有远程通信协议方案进行审核,采用网络数据抓包的方法进行数据抓包,解析通信报文数据中加密密钥衍生和更新策略,检查是否支持以安全方式进行定期更新;
b)对私有远程通信协议方案进行审核,采用网络数据抓包的方法进行数据抓包,解析通信报文数据中加密密钥存储策略,检查安全传输协议是否以安全的方式存储数据加密密钥。
a)使用暴力破解的方法,检查缺省口令的复杂度;
b)通过对同一产品的多个样品验证缺省口令的方式,检查缺省口令是否具有唯一性;
c)设置较低复杂度口令,检查修改过程中是否给出明确的风险提示或不允许设置;
d)对于人机接口或跨信任网络的不同车载信息交互系统之间接口的登录认证,使用暴力破解的方法,检查是否成功触发防暴力破解机制;
e)通过尝试篡改口令文件,检查是否设置了访问控制。
a)模拟遍历连接车载信息交互系统上的蓝牙设备,检查是否存在后门提供其他车辆服务;
b)采用蓝牙抓包工具进行数据抓包,解析蓝牙通信数据,检查针对 Classic 场合,是否采用 SSP模式或针对 LE 场合,是否采用 LE Secure Connection 模式;
c)向车载蓝牙设备发出配对请求,检查车载蓝牙设备是否对配对请求进行验证,若配对成功后,检查是否对外部设备进行鉴权;
d)利用未认证的外部设备,尝试进行控制车辆,检查是否成功接入;
e)在利用蓝牙进行非接触控制车辆业务时,采用蓝牙抓包工具进行数据抓包,解析蓝牙通信数据,检查是否对相关数据进行安全加密处理。
通过获取WLAN热点安全类型,检查WLAN热点是否采用WPA2-PSK或更高安全级别的加密认证方式。
采用车内网络报文抓包和解析的方法,检查车载信息交互系统通过CAN或车载以太网等总线与车内
其他控制器节点进行数据交互,传输重要数据时,是否使用安全机制保证传输数据的完整性及可用性。
a)对软硬件接口进行探测,端口扫描,检查是否存在“未公开接口”,是否存在可绕过系统安全机制对系统或数据进行访问的功能;
b)对通信接口进行遍历,检查其访问权限是否满足“最小权限原则”。
a)访问车载信息交互系统中不同区域的数据,检查车载信息交互系统是否支持路由隔离,是否可以隔离核心业务平台的通信、内部通信、外网通信等;
b)使用公网访问车载信息交互系统和核心业务平台,检查车载信息交互系统与核心业务平台的通信是否采用专用网络或者虚拟专用网络通信,与公网隔离。
a)调用非白名单指令,检查车载信息交互系统是否针对发送和接收到的指令进行白名单过滤;
b)模拟恶意应用,发送控制指令,检查车载信息交互系统是否实现总线控制指令来源的校验。
a)使用 root 账号登录,并尝试进行提权,检查系统是否禁止 root 用户直接登录,限制用户提权操作;
b)查看系统中的账号列表,检查是否存在无用账号,或者尝试登录其中的无用账号,验证是否无法登陆,通过设置弱口令,检查系统是否提示口令安全弱,账号口令应至少包括数字、大小写字母,并且长度不小于 8 位;
c)使用授权身份 a 或授权进程 a’对文件、数据库等进行访问,检查访问是否被允许,使用非授权身份 b 或非授权进程 b’对文件、数据库等进行访问,检查访问是否无法成功;
d)查看正在运行的应用服务,检查是否关闭了不必要的应用服务;
e)使用授权身份 a 进行远程接入,检查是否可以成功远程接入,使用非授权身份 b 进行远程接入,检查是否不能远程接入服务。
a)在应用软件内调用拨打电话操作,检查应用软件调用执行拨打电话操作时,是否在用户确认的情况下,才能执行拨打操作;
b)在应用软件内调用拨打电话开通呼叫转移业务操作,检查应用软件调用执行拨打电话开通呼叫转移业务时,是否向用户明示业务内容,且在用户确认的情况下才能执行操作。
在应用软件内调用三方通话操作,检查应用软件调用执行三方通话操作时,是否在用户确认的情况 下才能执行三方通话操作。
在应用软件内调用发送短信操作,检查应用软件调用执行发送短信操作时,是否在用户确认的情况下才能执行发送短信操作。
在应用软件内调用发送彩信操作,检查应用软件调用执行发送彩信操作时,是否在用户确认的情况下才能执行发送彩信操作。
在应用软件内调用发送彩信操作,检查应用软件调用执行发送彩信操作时,是否在用户确认的情况下才能执行发送彩信操作。
a)检查车载信息交互系统是否提供了控制移动通信网络数据连接的开关,开启开关检查是否可使用移动通信网络数据连接,关闭开关检查是否无法使用移动通信网络数据连接;
b)检查应用软件调用开启通信网络数据连接功能时,是否对用户进行了相应的提示,且是否在用户确认后才开启通信网络数据连接功能,当用户未确认时是否没有开启;
c)检查车载信息交互系统是否向用户提供通过配置应用软件调用移动通信网络连接的功能;
d)检查当移动通信网络的数据连接处于已连接状态时,车载信息交互系统是否在用户界面上有相应的状态提示;
e)当移动通信网络正在传送数据时,检查车载信息交互系统是否在用户界面上有相应的状态提示;
f)检查 d)和 e)的两种状态提示是否不同。
a)检查车载信息交互系统是否有控制 WLAN 网络连接功能的开关,开启开关检查是否可使用 WLAN网络连接,关闭开关检查是否不能使用 WLAN 网络连接;
b)检查应用软件调用开启 WLAN 网络连接功能时,是否对用户进行相应的提示,且是否在用户确认后才开启 WLAN 网络连接,当用户未确认时是否没有开启;
c)检查当 WLAN 网络连接处于已连接状态时,车载信息交互系统是否在用户界面上有相应的状态提示;
d)检查当 WLAN 网络正在传送数据时,车载信息交互系统是否在用户界面上有相应的状态提示;
e)检查 c)和 d)的两种状态提示是否不同。
a)检查当应用软件在使用期间调用定位功能时,车载信息交互系统是否要求用户确认允许使用定位功能,用户未确认时是否会停止调用定位功能;
b)检查车载信息交互系统是否提供了后台定位控制能力,且用户是否可为每个应用软件选择开启和关闭后台定位功能;
c)检查 a)和 b)是否让用户分别操作;
d)检查当应用软件调用定位功能时,车载信息交互系统是否在用户界面上有相应的状态提示。
检查当应用软件调用通话录音功能时,是否要求用户确认,用户未确认时是否不开启通话录音。
检查应用软件调用本地录音功能时,是否要求用户确认,用户未确认时是否不开启本地录音。
使用授权的应用软件a对用户数据进行处理,检查是否可以成功执行,使用非授权的应用软件b对用户数据进行处理,检查是否无法成功。
a)获取操作系统安全启动信任根存储区域的访问方法和地址,使用软件调试工具写入数据,重复多次检查是否可将数据写入该存储区域;
b)提取操作系统签名,使用软件调试工具对签名进行篡改,将修改后签名写入到车载终端内的指定区域,检查是否正常工作;
c)获取操作系统的系统固件等其他安全启动代码,使用软件调试工具对其进行篡改,将修改后的启动代码写入到车载终端内的指定区域,检查是否正常工作。
a)将镜像替换为过期的镜像,检查是否无法成功加载;
b)确认更新镜像安装失败时(如通过在更新镜像时人为断电等方法),检查系统安装之前的版本是否可用;
c)修改更新镜像,检查更新流程是否无法执行;
d)使用非官方授信的更新镜像,检查更新流程是否无法执行。
审查设计文档,检查是否采用了操作系统隔离措施,即除拨打电话、电话本和短信等必要的接口和数据可以共享外,不同操作系统之间不能进行通信。
a)针对车机类智能操作系统,引入异常状况(例如:异常网络连接、内存占用突增),检查是否会对异常情况进行告警;
b)针对车机类智能操作系统,检查系统是否会进行内存、存储垃圾清理等;
c)针对车机类智能操作系统,审查文档,检查操作系统是否具有审计功能,并进行核查;
d)打开日志查询界面,检查操作系统是否对重要事件进行了日志记录;
e)审查文档,检查操作系统是否设定了将日志上传至服务器的策略;
f)使用授权身份 a 进行日志进行读取或写入,检查是否可以成功操作,使用非授权身份 b 进行日志读取或访问,检查是否无法成功;
g)通过尝试覆盖、删除日志存储区域,检查日志的存储是否存在安全防护;
h)使用授权身份 a 通过调用调试接口访问内部数据,检查是否可以成功操作,使用非授权身份 b 通过调用调试接口访问内部数据,检查是否无法成功;
i)使用漏洞扫描工具对车载终端进行漏洞检测,检查是否存在权威漏洞平台发布 6 个月及以上的高危安全漏洞,且厂商是否提供了该高危漏洞的处置方案;
j)通过应用软件进行 root 权限运行和业务不包含控车的应用软件进行控车行为操作,检查该操作是否会被阻断。
a)从非应用商店处下载未使用官方签名的应用软件,检查是否可以正常下载和安装;
b)使用漏洞扫描工具对车载终端进行漏洞检测,检查是否存在权威漏洞平台发布 6 个月及以上的高危安全漏洞,且厂商是否提供了该高危漏洞的处置方案;
c)对应用软件中数据进行分析,检查应用软件对个人敏感信息是否非授权收集或泄露、非授权数据是否外传等恶意行为;
d)使用分析、查找方法,检查应用软件是否以明文形式存储个人敏感信息;
e)分析会话内容,检验车载信息交互系统是否具备会话安全保护机制,如:使用随机生成的会话ID 等;
f)使用暴力破解方法,检查用户口令策略(例如:长度、字符类型等)是否满足要求;
g)对代码进行查找和分析,检查是否在代码中不存在密钥;
h)对代码进行查找和分析,检查该应用软件是否使用已验证的、安全的加密算法和参数;
i)对代码进行查找和分析,检查是否不存在将同一个密钥复用于多种不同用途;
j)使用设计文档分析的方法并验证,检查使用到的随机数是否由已验证的、安全的随机数生成器产生并符合随机数标准。
a)使用代码扫描工具,对应用软件代码进行扫描,检查应用软件构建设置是否满足安全要求,应用软件使用的第三方组件是否识别已知漏洞并安装补丁;
b)对于非托管代码,使用代码扫描工具,检查是否可确保内存空间的安全分配、使用和释放;
c)分析设计文档,检查应用软件是否采用代码签名机制,且代码签名机制符合相关标准要求;
d)使用调试分析方法,检查应用软件发布后是否包含调试功能及调试信息;
e)在非调试场景或调试模式下,使用调试工具进行分析,检查应用软件日志是否包含调试输出;
f)使用代码扫描工具,检查是否使用构建工具链提供的代码安全机制,例如堆栈保护、自动引用计数;
g)使用逆向工具进行分析,检查应用软件是否使用安全机制(例如:混淆、加壳),对抗针对应用的逆向分析;
a)通过遍历调用所有接口的方式,检查是否授予超出其实际业务需求的权限;
b)采用分析设计文档和测试的方法,检查不同的应用软件是否分配不同的接口权限集合;
c)通过对应用软件的输入接口进行模糊测试的方式,检查应用软件是否对输入信息的来源(包括用户界面、URL 等来源)进行校验;
d)采用分析设计文档的方法,检查身份验证是否至少在本地进行。
a)篡改或替换关键应用软件的部分代码,检查关键应用程序及定制应用软件能否正常启动运行;
b)检验输入个人敏感信息时,检查是否使用安全软键盘或其他安全措施,确保敏感信息不被其他应用窃取,并防止录屏;
c)应用软件正常终止时,读取内存数据,检查是否包含个人敏感信息;
d)截取进程间通信内容,进行分析,检查进程间通讯是否涉及明文的个人敏感信息;
e)遍历接口,截取各接口通信内容,进行分析,检查应用软件是否利用进程间通信提供敏感功能的接口。
a)采用网络数据抓包工具进行数据抓包,解析应用软件对外传输的数据,检查个人敏感信息是否加密;
b)采用网络数据抓包工具进行数据抓包,解析通信数据,检查通信端是否进行双向认证;
c)采用网络数据抓包工具进行数据抓包,解析通信数据,检查是否使用已验证的参数设置;
d)采用网络数据抓包工具进行数据抓包,解析通信数据,获取证书,检查证书是否是通过 OEM 授信的CA签发的。
a)通过尝试日志读取写入操作,检查是否存在访问控制机制,检查是否对日志读写进行权限管理;
b)通过尝试覆盖、删除日志存储区域,检查日志的存储是否存在安全防护;
c)分析应用软件存储的日志,检查是否包含未脱敏的个人敏感信息。
a)检查车端在采集用户数据时,是否通过主动点击“同意”、明确告知采集目的和范围等方式得到用户的授权同意;
b)检查车端在采集个人敏感信息时,是否通过主动点击“同意”等方式得到用户的明示同意;
c)检查车端在远程控制、远程诊断等功能场景下发送指令数据时,是否通过主动点击“同意”、明确告知等方式得到用户的授权同意;
d)启动一项服务,检查是否在服务启动之后才进行数据采集,终止服务时停止数据采集。
a)通过尝试读取存储包含个人敏感信息的文件,检查个人敏感信息是否进行了加密存储;
b)通过查看车载信息交互系统设计文档,检查是否有效实现重要安全参数的安全存储和运算;
c)使用非授权身份访问存储用户数据的文件,检查是否无法访问文件信息;
d)检查存储在车载信息交互系统中的个人生物识别信息,是否使用了仅存摘要等技术措施;
e)通过尝试修改和删除存储的用户数据,检查是否无法成功,用户同意之后,尝试修改和删除存储的用户数据,检查是否成功;
f)检查车载信息交互系统是否支持数据操作(包括采集,传输,存储,销毁)日志的存储功能。
使用篡改、伪造等方法进行模拟攻击,检查对于数据完整性、保密性和可用性的防护措施是否有效。
a)通过更换件操作或者应用安装后删除等操作,检查车载信息交互系统是否具备数据销毁的功能;
b)启动共享应用程序,执行用户退出后再次登录,检查是否可以获取到个人敏感信息。
- 用户评论
