發(fā)現(xiàn)多個(gè)汽車操作系統(tǒng)高危漏洞！360獲寶馬和BlackBerry的雙重致謝

（CWW）近日，三六零集團(tuán)旗下的智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室（以下簡稱360 Sky-Go）發(fā)現(xiàn)了多個(gè)汽車操作系統(tǒng)QNX的安全漏洞，其中更有在通用漏洞評分系統(tǒng)(CVSS)中獲得9.8分(滿分10分)的嚴(yán)重級別的遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞影響B(tài)lackBerry QNX SDP從6.4到7.1等多個(gè)版本，成為影響車輛安全的重要隱患，目前上述漏洞官方已經(jīng)發(fā)布修復(fù)方案。

作為汽車領(lǐng)域最大的操作系統(tǒng)供應(yīng)商之一，BlackBerry發(fā)行的QNX在車用市場占有率達(dá)到75%，目前全球有超過230種車型使用QNX系統(tǒng)，包括大眾、寶馬、奧迪、保時(shí)捷、福特等眾多知名汽車廠商，國內(nèi)外數(shù)千萬輛智能網(wǎng)聯(lián)汽車中均搭載了基于QNX的車載娛樂系統(tǒng)。

（BlackBerry官網(wǎng)發(fā)布的關(guān)于該漏洞的安全公告）

據(jù)悉，360 Sky-Go團(tuán)隊(duì)已經(jīng)連續(xù)兩年獲得QNX發(fā)行商BlackBerry的致謝，在2021年提交的十個(gè)漏洞中涵蓋了TCP/IP協(xié)議棧、媒體庫、內(nèi)核等多個(gè)組件，BlackBerry為360的安全研究員頒發(fā)了“Super Finder Status”的稱號(hào)，以表彰360 Sky-go團(tuán)隊(duì)在保護(hù)智能網(wǎng)聯(lián)汽車用戶安全領(lǐng)域所取得的卓越成果。

（BlackBerry 2021年官網(wǎng)致謝頁面）

（BlackBerry 2020年官網(wǎng)致謝頁面）

在今年上半年，360 Sky-Go就向?qū)汃R提交過QNX漏洞，確認(rèn)了該通用操作系統(tǒng)漏洞對汽車安全存在直接的安全威脅，這也是全球首個(gè)使用了QNX系統(tǒng)0day漏洞影響汽車安全的案例。360 Sky-Go團(tuán)隊(duì)對該類型漏洞的發(fā)現(xiàn)和上報(bào)，先后獲得了寶馬集團(tuán)以及QNX發(fā)行商BlackBerry的官方致謝。

（寶馬官網(wǎng)致謝頁面）

360 Sky-Go是360政企安全集團(tuán)于2014年成立的國內(nèi)早期研究智能網(wǎng)聯(lián)汽車安全的公司之一，在汽車信息安全領(lǐng)域擁有豐富的研究成果和實(shí)踐經(jīng)驗(yàn)，依托360全面的數(shù)字化安全能力，形成一套符合國內(nèi)外法律法規(guī)要求的針對智能汽車的安全事件的監(jiān)測方案，以此來實(shí)現(xiàn)智能網(wǎng)聯(lián)汽車安全事件的可感、可視、可追蹤，為汽車行業(yè)提供合規(guī)檢測能力、道路車輛實(shí)時(shí)監(jiān)測能力以及安全運(yùn)營服務(wù)。

近年來，360 Sky-Go團(tuán)隊(duì)一直深耕在車聯(lián)網(wǎng)行業(yè)，致力于將車聯(lián)網(wǎng)安全研究向縱深演進(jìn)，進(jìn)一步推動(dòng)國內(nèi)外車聯(lián)網(wǎng)產(chǎn)業(yè)的創(chuàng)新和安全發(fā)展。此前，360 Sky-Go安全團(tuán)隊(duì)就曾全球獨(dú)家發(fā)布《梅賽德斯-奔馳安全研究報(bào)告》，披露并協(xié)助修復(fù)19個(gè)安全漏洞，獲得了梅賽德斯-奔馳官方的肯定。除此之外，360 Sky-Go還一直致力于推動(dòng)車聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)在全國乃至全球范圍內(nèi)的建設(shè)與落地，今年一月份正式發(fā)布的ITU-T X.1376《使用大數(shù)據(jù)的聯(lián)網(wǎng)汽車安全異常行為檢測機(jī)制》作為中國牽頭的第一個(gè)汽車安全國際標(biāo)準(zhǔn)，就是由360 Sky-Go團(tuán)隊(duì)根據(jù)多年攻防經(jīng)驗(yàn)總結(jié)出的汽車網(wǎng)絡(luò)安全異常行為檢測機(jī)制。目前，360已累計(jì)牽頭標(biāo)準(zhǔn)制訂11項(xiàng)、累計(jì)參與標(biāo)準(zhǔn)制訂超過200項(xiàng)、累計(jì)發(fā)布標(biāo)準(zhǔn)超過90項(xiàng)、獲得各級標(biāo)準(zhǔn)化組織獎(jiǎng)項(xiàng)7次。

未來，360 Sky-Go將繼續(xù)深耕汽車安全領(lǐng)域，在360政企安全集團(tuán)數(shù)字化安全能力框架的指引下，不斷為守護(hù)數(shù)字化時(shí)代智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)安全健康的發(fā)展而做出努力。

關(guān)鍵詞： 資訊 通信世界網(wǎng) 360 漏洞 寶馬 BlackBerry 安全