技术白皮书　 智能网联汽车安全渗透 白皮书 （2020 年） m o c . 5 b u h t i g 中国软件评测中心·智能网联汽车测评工程技术中心 2020 年 12 月 h t i g b u m o c . 5 序 言 随着汽车智能化、网联化和电动化程度的不断提高，智能网 联汽车信息安全问题日益严峻，产业链的各个环节对信息安全的 重视程度还远没有达到要求，甚至存在多个环节并没有考虑信息 安全需求的情况。因此全面推进智能网联汽车信息安全发展，定 期进行安全渗透测试，积极探索信息安全关键技术和产品创新， 进一步建立健全智能网联汽车信息安全防护体系至关重要。 m o c . 5 为此，我们组织撰写了《智能网联汽车安全渗透白皮书（2020 年）》，从产业发展、安全态势、攻击场景、渗透指标、渗透实 践等切入点对智能网联汽车安全总体形势进行分析，提出安全渗 透测试指标并基于此进行渗透实践，针对性剖析安全漏洞，提出 b u 安全保障建议。 h t i g 本白皮书由智能网联汽车测评工程技术中心（赛迪汽车）团 队撰写，参与人员包括邹博松、朱科屹、王卉捷、郭盈、王荣， 在此特别感谢中国电子信息产业发展研究院副院长黄子河、副总 工程师安晖、中国软件评测中心总工程师陈渌萍对本白皮书的撰 写指导，中心品牌宣传推广部刘喜喜、闫晓丽的编辑及排版支持。 本白皮书的主要观点和内容仅代表编写组的研判和思考，部 分内容难免存在纰漏，欢迎业界同仁提出宝贵意见，批评指正。 中国软件评测中心 宋娟 2020 年 12 月 h t i g b u m o c . 5 版权声明 本白皮书版权属于中国软件评测中心，并受法律保护，转载、 摘编或利用其他方式使用本白皮书文字或观点的，应注明“来源： m o c . 5 中国软件评测中心”，违反上述说明的，本单位将追究其相关法 律责任。 h t i g b u 指导组：黄子河 编写组：邹博松 郭 盈 b u h t i g 安 晖 陈渌萍 朱科屹 王卉捷 王 荣 m o c . 5 宋 娟 目 录 前 言.................................................................................................... - 1 一、 智能网联汽车安全产业概述 ..................................................... - 3 (一) 产业生态总体趋势 .............................................................. - 3 (二) 安全技术研究现状 .............................................................. - 4 (三) 标准政策法规动态 .............................................................. - 5 二、 智能网联汽车信息安全态势 ..................................................... - 7 - m o c . 5 (一) 网络安全技术领域扩展，智能网联汽车成为新目标 ...... - 7 (二) 产业价值体系正在构建，外部环境安全隐患突出 .......... - 8 (三) 数据信息泄露风险加剧，个人信息保护不断加强 .......... - 8 (四) 安全建设能力仍需完善，渗透测试服务不可或缺 ........ - 10 - b u 三、 智能网联汽车攻击场景分析 ................................................... - 11 - (一) 工程模式入侵 .................................................................... - 11 - h t i g (二) 无线通信安全威胁 ............................................................ - 12 四、 智能网联汽车安全渗透指标 ................................................... - 12 (一) 车载信息交互系统安全 .................................................... - 13 (二) 车内外通信安全 ................................................................ - 14 (三) 接口安全 ............................................................................ - 15 (四) App 安全 ............................................................................ - 15 五、 智能网联汽车渗透实践聚焦 ................................................... - 16 (一) 系统调试模式开启 ............................................................ - 17 (二) 敏感数据明文存储 ............................................................ - 18 (三) 应用软件通信内容劫持 .................................................... - 21 (四) 车内外通信未加密 ............................................................ - 23 (五) 蓝牙连接认证机制薄弱 .................................................... - 25 - (六) OBD 数据监听 ................................................................... - 26 (七) USB 外接设备及调试模式 ............................................... - 27 六、 永不过时的安全建议 ............................................................... - 28 - h t i g b u m o c . 5 前 言 近年来，智能网联汽车作为关联众多重点领域协同创新、构 建新型交通运输体系的重要载体，已经上升到国家战略高度。发 改委、工信部、交通运输部、科技部、公安部等部委加快出台一 系列政策法规推动我国智能网联汽车产业发展，加强顶层设计和 战略谋划。 本白皮书聚焦智能网联汽车信息安全问题，首先从安全产业 m o c . 5 的总体趋势、技术研究及政策法规等方面阐述智能网联汽车信息 安全的发展现状；其次，对当前智能网联汽车信息安全总体态势 进行分析；然后，从攻击场景入手，基于安全渗透指标进行渗透 b u 测试实践，进行重点问题分析；最后，提出智能网联汽车信息安 全能力提升的相关建议。 h t i g 中国软件评测中心（工业和信息化部软件与集成电路促进中 心），是工业和信息化部的直属单位。长期服务和支撑国家部委、 地方政府以及电信和互联网、汽车、教育、卫生、广电、交通、 能源、银行、证券、保险、航空等各大行业，业务范围覆盖全国 31 个省、自治区、直辖市，业务网络覆盖全国 500 多个城市， 构建了基于第三方服务的科技产业链。 智能网联汽车测评工程技术中心（赛迪汽车）是中国软件评 测中心核心业务板块，依托于智能网联驾驶测试与评价工业和信 息化部重点实验室及智能网联汽车软件检测中心，开展整车信息 安全、V2X 安全、车载终端信息安全、电动汽车通信协议及数 据格式一致性及安全、源代码安全等测评服务，以及标准政策解 -1- 读、共性技术研究、产业发展规划等专业咨询服务。具备整车及 零部件的功能、性能、可靠性、信息安全的综合测试与评价能力， 致力于为政府部门、企业、科研院所等提供专业、安全、可靠的 第三方咨询、测试、评估服务。 b u m o c . 5 h t i g -2- 一、智能网联汽车安全产业概述 (一) 产业生态总体趋势 智能网联汽车市场规模预计将持续增长。在互联网多模式发 展和工业智能化趋势的背景下，智能网联汽车作为创新发展的新 方向，将汽车产业带入到多领域、大系统融合的高速发展时期， 产业链各主体都在积极开展相关产业布局，汽车产业正在发生革 m o c . 5 命性变化。工业和信息化部部长肖亚庆在 2020 世界智能网联汽 车大会上表示，随着汽车信息通讯、人工智能、互联网等行业深 度融合，智能网联汽车已经进入技术快速演进、产业加速布局的 b u 新阶段。据 IHS Markit 数据显示，目前全球市场搭载车联网功能 的新车渗透率约为 45%，预计至 2025 年可达到接近 60%的市场 h t i g 规模。长期预测中国的智能网联汽车市场将不断增长，至 2025 年接近 2000 万辆，市场渗透率超过 75%以上。 图 1：2018-2025 年智能网联汽车渗透率趋势 图片来源：IHS Markit 车联市场分析，2020 年 -3- 智能网联汽车信息安全问题日益严峻。一方面，2019 年上 市的传统燃油车联网率超过 40%，预计 2020 年后将超过 70%， 网络技术的普及和不断提升推动了智能网联汽车发展，汽车的联 网率增加使得其逐步成为网络攻击重点目标，安全问题风险突 出，安全防护基础薄弱。另一方面，根据工信部车联网动态监测 情况显示，2020 年以来发现整车企业车联网信息服务提供商等 相关企业和平台的恶意攻击达到 280 余万次，平台的漏洞、通信 m o c . 5 的劫持、隐私泄露等风险十分严重，危害更加严峻。威胁由车外 进入车内、影响程度加大、网络安全与功能安全要求矛盾等问题 层出不穷。 图 2：智能网联汽车