智能车联系统攻防实战演练总结.docxVIP

智能车联系统攻防实战演练总结

一、演练概述

时间：2023年10月15-18日

对象：智能车联网系统（含OTA平台、车载终端、云控中心、通信网关）

目标：检验系统在遭受APT攻击、DDoS攻击、钓鱼攻击等典型威胁下的响应能力，验证安全防护体系的成熟度

形式：红蓝双方实战对抗+高仿测试环境渗透

二、核心问题发现

1.通信安全缺失

发现摘要：

MQTT协议未启用DTLS加密，攻击者可窃听车联网控制指令

OTA固件传输未采用国密SM4算法加密，存在解密风险

公钥基础设施（PKI），证书链未严格验证

示例：

测试中捕获513条未加密诊断消息，多数包含车身控制模块（BCM）写入指令

2.身份认证漏洞

发现问题：

用户双重认证纠错率高达28.3%

车辆登录失败次数限制为3次，可暴力破解BCM权限

联网设备接入不采用M2M设备令牌机制

攻击复现：

成功通过伪造OBD-II协议模拟器在15秒内绕过ACC点火认证

3.后门与供应链风险

威胁场景：

蓝牙钥匙密钥存储未采用TPM硬件隔离

厂商后门二维码植入模拟测试成功率达73%

第三方OTA工具存在远程代码执行（RCE）漏洞

三、攻防经验总结

1.检测能力评估

防御机制

识别率

缺陷

工具依赖程度

IDS/IPS

89%

告警虚报

高

WAF

73%

JSON数据包误判

中

云监测WAPI

96%

-(头部厂商)-

极高

2.关键改进方向