国际视野
- 2023 国际汽车安全与测试大会6月7-8日在上海举办
- 联合国世界车辆法规协调论坛(UN/WP.29)第189次全体会议召开
国内动态
- 工信部网络与数据安全57项“行政执法事项清单”已对外公布
- 车联网服务平台网络安全防护标准应用先导活动征集
- 自然资源部关于发布《智能汽车基础地图标准体系建设指南(2023版)》的公告
- 小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议
- 北汽、奔驰、宝马等30家车企报送数据安全报告,北京市网信办组织报告评审
- 市场监管总局通告:稳步推进汽车安全沙盒监管制度、加强机动车排放召回案件调查
- C-Auto-ISAC将于3月下旬召开2023年第一次会员单位闭门会议
- 汽标委智能网联汽车分标委2023年第一次标准审查会在广州召开
- TC8TF2持续推进车联网安全标准制定
安全事件
- 现代和起亚汽车爆出逻辑漏洞,只需一根 USB 线即可开走汽车
- 为辰安全实验室监测到车联网开源组件命令执行漏洞(CVE-2022-30065)
- 电动汽车充电设施正成为网络攻击的新目标
- 宝马、戴姆勒等软件供应商Beeline数据库遭攻击
- 宝马暴露了意大利客户的数据
- Eaton Zveare披露黑客破解丰田客户搜索工具
科技前沿
- 《2022智能网联汽车蓝皮书》之中国智能网联汽车产业化挑战与发展对策
- 青骥编译Upstream 2023全球汽车网络安全报告(第六章)
- 中国电子信息产业发展研究院等联合发布《智能网联汽车安全渗透白皮书3.0》
国际视野
1、2023 国际汽车安全与测试大会6月7-8日在上海举办
关键词:汽车安全、安全测试、网络安全
3月2日消息,2023国际汽车安全与测试大会将于6月7-8日在上海举办,该系列会议由SAE International国际自动机工程师学会发起主办,从2019年开始,已连续成功举办四届。涉及主题包括:自动驾驶安全、功能安全和预期功能安全、信息网络安全,以及电池安全等。2023年为第五届,将新增SASETECH年会和首届SAE网络安全评选活动。
信息来源:
https://mp.weixin.qq.com/s/JRSTXQB6tADcjFJnq8jGBg
2、联合国世界车辆法规协调论坛(UN/WP.29)第189次全体会议召开
关键词:WP29、第189次会议、车车通信任务组
3月7日-9日,联合国世界车辆法规协调论坛(UN/WP.29)第189次全体会议以线上线下相结合形式召开。来自联合国欧洲经济委员会(UNECE)成员国、WP.29下辖协定书缔约方、非政府组织的约100位代表出席会议。会议批准成立“车-车通信任务组”并拟由中国担任副主席牵头开展研究工作,会议讨论了自动驾驶系统法规适应性审查、自动驾驶车辆分类等智能化相关议题。
信息来源:
https://mp.weixin.qq.com/s/JRSTXQB6tADcjFJnq8jGBg
国内动态
1、工信部网络与数据安全57项“行政执法事项清单”已对外公布
关键词:工信部、行政执法事项、车联网网络安全、定级备案
2月8日,工业和信息化部编制《工业和信息化部行政执法事项清单(2022年版)》。网络安全方面涉及国家电信网、互联网网络安全技术平台配套设施建设项目核准、对有关车联网服务平台运营企业未落实车联网网络安全防护定级备案的行政处罚、对工业和信息化领域关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,未落实《中华人民共和国网络安全法》的有关规定的行政处罚等。
信息来源:
https://wap.miit.gov.cn/jgsj/zfs/gzdt/art/2023/art_5320565039f54cd696c3c07d5077efe0.html
2、车联网服务平台网络安全防护标准应用先导活动征集
关键词:定级备案、车联网服务平台、标准应用
3月2日起,中国信通院正式启动车联网服务平台网络安全防护标准应用先导征集工作,面向智能网联汽车生产企业、车联网服务平台运营企业等,开展标准宣贯解读、安全防护符合性评测、漏洞隐患检测等工作,遴选推广优秀应用先导案例,推动车联网企业及时发现消除安全配置不符合项和高危风险隐患,促进企业防护措施落实和能力提升,提升车联网服务平台安全防护能力,增强车联网企业网络安全保障水平。首批征集工作截至3月30日结束。
信息来源:
https://mp.weixin.qq.com/s/INJ__ryeJJWqPiyXS8ovRg
3、自然资源部关于发布《智能汽车基础地图标准体系建设指南(2023版)》的公告
关键词:自然资源部、智能汽车、数据安全、标准体系建设指南
3月3日,为贯彻落实《国务院关于开展营商环境创新试点工作的意见》(国发〔2021〕24号)及11部门联合印发的《智能汽车创新发展战略》(发改产业〔2020〕202号)等文件精神,加强智能汽车基础地图标准规范的顶层设计,推动地理信息在自动驾驶产业的安全应用,自然资源部组织编制了《智能汽车基础地图标准体系建设指南(2023版)》。
信息来源:
https://m.mnr.gov.cn/gk/tzgg/202303/t20230306_2777534.html
4、小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议
关键词:汽车、数据安全、管理体系
3月4日,全国人大代表,小米集团创始人、董事长兼CEO雷军在两会上针对“构建完善汽车数据安全管理体系”提出具体建议。在汽车数据安全管理体系方面,雷军认为智能网联汽车作为车轮上的数据中心,其承载的行驶轨迹、生物特征等敏感个人信息,及地理信息、车外影像等,既是数字经济发展的重要要素资产,也给个人隐私、国家公共利益与安全带来了挑战。
信息来源:
https://mp.weixin.qq.com/s/F3pFNhL3P9LqvPlno6s3Qw
5、北汽、奔驰、宝马等30家车企报送数据安全报告,北京市网信办组织报告评审
关键词:车企、数据安全、北京网信办
3月6日消息,北京市互联网信息办公室从2022年11月起,组织开展属地汽车数据安全管理年度报告工作,共计收到北汽、奔驰、宝马、奥迪、丰田、现代、日产、百度、滴滴等30家汽车企业报送的33份报告。近期北京市网信办组织提交报告的企业召开报告评审指导会,进一步了解掌握汽车企业数据处理活动情况,对报告进行集中评审,指出存在问题,督促针对性整改,指导促进汽车数据合理开发利用。
信息来源:
https://mp.weixin.qq.com/s/m38eMtaFwoWBdP0XCqnmsw
6、市场监管总局通告:稳步推进汽车安全沙盒监管制度、加强机动车排放召回案件调查
关键词:市场监管总局、汽车安全、沙盒监管制度
3月10日,市场监管总局对外发布了《关于2022年全国汽车和消费品召回情况的通告》。通告对2023年主要工作进行了部署,深化产品安全监管创新作为重点工作之一,提出稳步推进汽车安全沙盒监管制度,确保创新制度安全、适度、可控。深化智能汽车OTA安全评估,推动企业不断改进产品设计、制造,降低产品安全风险。
信息来源:
https://mp.weixin.qq.com/s/WK9zLnCnRQm3aMTVQmASRg
7、C-Auto-ISAC将于3月下旬召开2023年第一次会员单位闭门会议
关键词:智能网联汽车、网络安全、数据安全
3月15日消息, 中国汽车信息安全共享分析中心(简称C-Auto-ISAC)将于3月下旬召开2023年第一次会员单位闭门会议,聚焦智能网联汽车安全话题,深入探讨智能网联汽车网络安全和数据安全的现状与技术趋势。C-Auto-ISAC是由中国汽车技术研究中心于2017年5月牵头成立,拥有20余家主机厂和零部件供应商成员单位,超过30位专家技术委员,是国内最大的汽车信息安全共享组织。
信息来源:
https://mp.weixin.qq.com/s/W4B-tfZwl_HjM42S5Vm_EQ
8、汽标委智能网联汽车分标委2023年第一次标准审查会在广州召开
关键词:汽标委、智能网联汽车、标准审查会
3月16日消息,汽标委智能网联汽车分标委秘书处在广州组织召开了“全国汽车标准化技术委员会智能网联汽车分技术委员会2023年第一次标准审查会”,全体参会委员及委员代表共同审查了强制性国家标准《汽车软件升级通用技术要求》和推荐性国家标准《汽车诊断接口信息安全技术要求》,经过起草单位汇报、委员质询、起草单位回复、现场表决等流程,最终两项标准顺利通过审查。
信息来源:
https://mp.weixin.qq.com/s/RjlPQ2KFVy6FEzMXKttLpg
9、TC8TF2持续推进车联网安全标准制定
关键词:中国通信标准化协会、车联网安全、安全态势感知、汽车在线升级
3月16-17日,中国通信标准化协会网络与数据安全技术工作委员会(TC8)车联网安全任务组(TF2)在北京召开第3次会议,也是工作组第1次线下会议,会议由TF2副组长严敏睿主持,共90余位代表参加。会议审查通过了《车联网安全态势感知技术要求》1项行业标准送审稿,完成《车联网在线升级(OTA)安全技术要求与测试方法》1项国家标准和5项行业标准征求意见。
信息来源:
https://mp.weixin.qq.com/s/ckTGenQr5dJiCI-W9JBHGw
安全事件
1、现代和起亚汽车爆出逻辑漏洞,只需一根 USB 线即可开走汽车
关键词:现代汽车、起亚汽车、安全漏洞
2月16日,韩国汽车制造商现代和起亚对约830万辆汽车进行了防盗安全更新(预估有380万辆现代汽车和450万辆起亚汽车)。据悉,此次安全升级的缘由是2022年7月疯狂传播的“Kia Challenge”活动,“实验人员”只需一根USB线即可盗走现代或起亚汽车,汽车存在安全逻辑漏洞的问题引起广泛讨论。
信息来源:
https://mp.weixin.qq.com/s/z59sxi3cpoi-VE-TyUhcFA
2、为辰安全实验室监测到车联网开源组件命令执行漏洞(CVE-2022-30065)
关键词:车联网、开源组件、安全漏洞
2月18日,为辰安全实验室监测到部分智能网联汽车使用的开源项目Busybox代码执行漏洞(CVE-2022-30065)。该漏洞影响多数车机娱乐系统IVI、TBOX、仪表等系统安全,目前Busybox官方已发布修复版本。由于Busybox可执行文件的文件比较小,使得它在智能汽车上运用非常广泛。该漏洞由于是Busybox的AWK模块使用释放后的内存,并且在copyvar函数中处理特制的AWK模式时可导致代码执行。
信息来源:
https://mp.weixin.qq.com/s/iYPixOCDUAxhVN9OoNgbxw
3、电动汽车充电设施正成为网络攻击的新目标
关键词:电动汽车、充电系统、安全漏洞
3月4日消息,随着电动汽车充电基础设施急于跟上美国电动汽车销量的急剧增长,网络攻击者和安全研究人员等已经开始关注基础设施中的安全弱点。能源网络网络安全公司Saiflow的研究人员在开放式充电点协议中发现了两个漏洞,可用于分布式拒绝服务攻击和窃取敏感信息。
信息来源:
https://www.darkreading.com/ics-ot/ev-charging-infrastructure-electric-cyberattack-opportunity
4、宝马、戴姆勒等软件供应商Beeline数据库遭攻击
关键词:宝马、戴姆勒、软件供应商、网络攻击
3月9日消息,美国软件公司Beeline的数据库被攻击,数据库内包含亚马逊、瑞士信贷、波音、宝马、戴姆勒、摩根大通、麦当劳、蒙特利尔银行等Beeline 客户的数据。据悉,攻击者发布了一个包含1.5GB Beeline数据的数据库,据推测这些数据是从Beeline的Jira帐户中窃取的。攻击者声称该数据库包含Beeline 的客户数据,例如他们的名字和姓氏、Beeline用户名、在公司中的角色和其他数据。
信息来源:
https://cybernews.com/news/beeline-jira-database-exposed/
5、宝马暴露了意大利客户的数据
关键词:宝马、数据泄露、安全漏洞
3月10日消息,Cybernews研究人员发现,BMW暴露了由BMW Italy所依赖的框架生成的敏感文件,可能会泄露其商业机密和客户数据。2月,Cybernews研究人员偶然发现了BMW Italy官方网站上托管的未受保护环境.env和.git配置文件。环境文件.env存储在本地,包括有关生产和开发环境的数据。如果恶意黑客发现了这个漏洞,他们可以利用它来访问客户数据、窃取公司的源代码,并寻找其他漏洞进行利用。
信息来源:
https://securityaffairs.com/143297/data-breach/bmw-exposes-clients-italy.html?web_view=true
6、Eaton Zveare披露黑客破解丰田客户搜索工具
关键词:丰田、敏感数据、数据泄露
3月10日消息,Eaton Zveare披露称,丰田C360客户关系管理工具中的缺陷暴露了墨西哥未知数量客户的个人数据。丰田C360 客户关系管理工具中的生产API加载了未知数量的墨西哥汽车制造商客户的个人信息,被发现暴露了大量敏感数据。Eaton Zveare的披露概述了如何访问丰田客户的姓名、地址、电话号码、电子邮件和税号,以及车辆服务历史记录。在向丰田报告该问题后,Zveare 表示这些网站已下线,API已受到保护。
信息来源:
https://www.darkreading.com/application-security/hacker-cracks-toyota-customer-search-tool
科技前沿
1、《2022智能网联汽车蓝皮书》之中国智能网联汽车产业化挑战与发展对策
关键词:智能网联汽车、安全体系、蓝皮书
2月27日,由中国汽车工程学会、国家智能网联汽车创新中心、中国智能网联汽车产业创新联盟联合组织90余家智能网联汽车产业相关单位、近200位行业专家共同编制的《智能网联汽车蓝皮书(2022)》正式发布。其中,产业篇重点对国内外智能网联汽车产业最新进展进行综合对比分析,建议进一步完善跨部委协同机制建设,持续推动法律法规制修订,加强核心技术攻坚,提升智能化基础设施建设和管理水平,全面推动智能网联汽车安全体系研究。
信息来源:
https://mp.weixin.qq.com/s/z27JDQmUM_HapIQiPnQrkg
2、青骥编译Upstream 2023全球汽车网络安全报告(第六章)
关键词:汽车、网络安全报告、ECU安全
3月7日,青骥编译Upstream 2023全球汽车网络安全报告第六章:深网和暗网中的汽车和移动威胁。报告中写道,在深网和暗网中,有与汽车相关的论坛,涉及芯片和引擎调整、信息娱乐破解、逆向工程、车辆软件破解、遥控钥匙修改、防盗器破解和汽车软件交换。信息、见解、黑客攻击和软件操作不断在这些论坛上进行交易。其中,ECU安全是一个常见的讨论话题,还有其他话题,例如信息娱乐系统黑客攻击、源代码、数据泄露、汽车黑客工具、未经授权的个人教程等。
信息来源:
https://mp.weixin.qq.com/s/VKyYVG1fJH6NYjU2iRUbCw
3、中国电子信息产业发展研究院等联合发布《智能网联汽车安全渗透白皮书3.0》
关键词:智能网联汽车、信息安全、白皮书
3月20日消息, 智能网联驾驶测试与评价工业和信息化部重点实验室信息安全技术专题研讨会在杭州市5G创新园召开,共同探讨新时代下智能网联汽车信息安全领域面临的机遇与挑战。会上,中国电子信息产业发展研究院联合国家信息技术安全研究中心、普华永道商务咨询(上海)有限公司共同发布了《智能网联汽车安全渗透白皮书3.0》。白皮书依据国内外法规及标准政策要求,验证智能网联汽车产品安全防护情况,分析网络安全、数据安全及OTA安全的风险并提出建议,为行业提升安全防护水平、探索合规解决方案提供参考。
信息来源:
https://mp.weixin.qq.com/s/xM7kpPi0VBjPP2VVSRZWHA
Copyright © 2005-2021 网信安全世界版权所有