整车安全渗透测试白皮书.docx

目录 CONTENTS

01概述 03

百度公司介绍 03

百度安全团队介绍 03

极越品牌介绍 04

极越安全团队介绍 04

百度与极越合作介绍 05

渗透测试基本概念 06

整车安全渗透相关背景 06

汽车信息安全相关法规要求 06

汽车信息安全事件 07

整车安全渗透测试整体框架 09

硬件安全渗透测试 11

接口安全渗透测试 12

通信安全渗透测试 12

系统安全渗透测试 13

应用安全渗透测试 14

数据安全渗透测试 15

业务安全渗透测试 16

深度安全渗透测试 17

渗透测试方法和工具 18

硬件安全渗透测试 18

接口安全渗透测试 20

通信安全渗透测试 21

系统安全渗透测试 23

应用安全渗透测试 24

数据安全渗透测试 25

业务安全渗透测试 26

深度安全渗透测试 28

渗透测试总结与实践 30

4.1团队 30

4.2流程 33

工具与方法 36

容易被忽略的重要安全问题列表 38

05结语 41

概述

百度公司介绍

百度是拥有强大互联网基础的领先AI公司。百度以“用科技让复杂的世界更简单”为使命，坚持技术创新，致力于“成为最懂用户，并能帮助人们成长的全球顶级高科技公司”。作为全球领先的自动驾驶开放平台，百度Apollo代表中国最强自动驾驶实力，被知名研究公司NavigantResearch列为全球四大自动驾驶领域领导者之一。百度一直秉承着“科技为更好”的社会责任理念，坚持运用创新技术，聚焦于解决社会问题，履行企业公民的社会责任，为帮助全球用户创造更加美好的生活而不断努力。

百度安全团队介绍

百度安全是百度公司旗下，以AI为核心为基础打造的安全品牌，是百度24年安全实践的总结与提炼。基于基础安全、数据安全、业务安全、车与IoT安全四大产品矩阵，业务覆盖百度各种复杂安全场景，同时面向合作伙伴输出安全产品与行业一体化解决方案，涵盖智能制造、智慧能源、智慧政务、智慧金融、智能汽车等领域，全面探索AI时代的新实践、新范式。

整车安全渗透测试白皮书

极越品牌介绍

极越是百度和吉利控股集团联手打造的高端智能汽车机器人品牌，由夏一平担任CEO。极越汽车机器人贯穿“自然交流、自由移动、自我成长”三大产品理念，以极致的用户体验为目标，致力于持续打造行业领先的“汽车机器人”产品标杆，引领智慧出行变革。

极越旗下首款汽车机器人产品极越01已于2023年10月27日正式上市。极越01共推出极越01Max、极越01Max长续航版和极越01Max性能版三款配置车型。极越01全系标配高通8295和双英伟达DRIVEOrin芯片，智能AI助手SIMO能够接近人与人的自然交流，实现整车几乎所有功能控制，纯视觉高阶智驾“开箱即用”。极越01已深度融合文心一言、Apollo、百度地图、小度等技术能力，是全球首个大模型上车的智能汽车。

自成立起，极越即展现出科技公司的高效创新能力，并不断加大科技创新投入，增强研发能力，完善人才队伍建设。极越迄今共提交专利申请1976件，其中含发明专利1036件，并参与29项行业标准法规的起草工作，其中包含23项国标、2项ISO标准。

极越安全团队介绍

极越安全团队是极越的核心团队之一。多年以来，极越致力于为客户提供更好的安全保障，一直将“自主可控，稳定高效”作为安全理念，将安全能力内置到全域业务中，打造行业领先的安全服务和系统。借助于极越在智能化的优势，行业领先的智能汽车机器人在安全上同样具备了自我学习、自我成长的能力。

04

百度与极越合作介绍

长期以来，百度与极越在多个维度都展开了深度的合作，而安全更是其中尤为重要的一个方面。为了保障车辆信息安全，自极越新车型研发阶段起，双方就组建了联合团队，集合了百度最专业的攻防团队和极越安全团队中诸多安全专家，一起深度参与了包括整车渗透测试在内的一系列安全保障工作，渗透测试的范围包含极越整车系统、数字钥匙、充电桩、用户侧APP以及云端服务接口等。在测试过程当中，联合团队除了进行传统的固件安全、系统安全、通信安全、应用安全和云安全等渗透测试项目之外，还深入智能汽车的通用场景，对包括蓝牙钥匙、TEE、端口监听服务以及FoD付费服务等多个核心业务进行了深度分析，并从攻击者的角度逆向了充电桩、蓝牙钥匙的协议，对其核心逻辑进行了深入的漏洞挖掘，在车辆上市前排查发现了许多隐藏非常深的安全问题，并对所有安全问题进行了修复，保证用户用车安全。

作为智能网联汽车行业内的一员，百度和极越在发展包括自动驾驶在内的