2022年5月27日,由北京犬安科技有限公司发起举办的”GoGoHack2022 车联网信息安全研讨会“圆满落幕。本次研讨会受到了来自各界的高度关注,有300余位观众报名参会,分别来自主机厂、Tier X供应商、政府部门、高校、研究机构、安全咨询公司、投资机构等不同领域。
今天我们回顾其中一项议题:《C-V2X安全研究》, 本议题演讲嘉宾是来自清华大学的王宇轩,他也是OSR的安全研究员。
王宇轩
近年来V2X应用如火如荼的发展,而C-V2X因为其优势被选为大规模应用的标准,目前各大芯片、模组和部件厂商也都推出了C-V2X的解决方案,不少厂商也推出了装备C-V2X的车型。新技术的应用难免会带来新的攻击面。本议题的嘉宾王宇轩过去这段时间在C-V2X方向的取得了丰硕的研究成果,包括C-V2X远程代码执行等高危漏洞、C-V2X研究测试环境、测试方法、测试工具等,尤为重要的是他以实践的方式探索出了C-V2X的一些安全控制点、防御和攻击经验等,这些经验对C-V2X相关的产业链参与者都非常重要的借鉴意义。由于他发现的远程代码执行漏洞还没有被修复,本次议题他分享了C-V2X安全研究的经验、漏洞案例和原理、工具、环境搭建等方面的内容。
Key Takeaways
-
C-V2X技术扩大了交通系统的远程攻击面
-
PC5接口的广播特性,使得近场全体攻击成为可能
-
安全层无法防止基于设备数据篡改的消息伪造
-
已发现的漏洞多出现在对变长数据的不当内存拷贝
-
对于ASN.1解码器的安全分析,可独立于设备进行研究
GoGoHack是犬安科技(GoGoByte)发起的技术交流平台,平台会持续组织发起如本次GoGoHack2022这样的安全交流活动,欢迎大家前往GoGoHack官方网站(gogohack.org)注册账号以便在第一时间收到后续活动通知。
原文始发于微信公众号(GoGoHack):C-V2X安全研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论