近日，三六零集團(股票代碼：601360.SH)旗下的智能網(wǎng)聯(lián)汽車安全實驗室（以下簡稱360 Sky-Go）發(fā)現(xiàn)了多個汽車操作系統(tǒng)QNX的安全漏洞，其中更有在通用漏洞評分系統(tǒng)(CVSS)中獲得9.8分(滿分10分)的嚴(yán)重級別的遠程代碼執(zhí)行漏洞，該漏洞影響B(tài)lackBerry QNX SDP從6.4到7.1等多個版本，成為影響車輛安全的重要隱患，目前上述漏洞官方已經(jīng)發(fā)布修復(fù)方案。

作為汽車領(lǐng)域最大的操作系統(tǒng)供應(yīng)商之一，BlackBerry發(fā)行的QNX在車用市場占有率達到75%，目前全球有超過230種車型使用QNX系統(tǒng)，包括大眾、寶馬、奧迪、保時捷、福特等眾多知名汽車廠商，國內(nèi)外數(shù)千萬輛智能網(wǎng)聯(lián)汽車中均搭載了基于QNX的車載娛樂系統(tǒng)。

BlackBerry官網(wǎng)發(fā)布的關(guān)于該漏洞的安全公告

據(jù)悉，360 Sky-Go團隊已經(jīng)連續(xù)兩年獲得QNX發(fā)行商BlackBerry的致謝，在2021年提交的十個漏洞中涵蓋了TCP/IP協(xié)議棧、媒體庫、內(nèi)核等多個組件，BlackBerry為360的安全研究員頒發(fā)了“Super Finder Status”的稱號，以表彰360 Sky-go團隊在保護智能網(wǎng)聯(lián)汽車用戶安全領(lǐng)域所取得的卓越成果。

BlackBerry 2021年官網(wǎng)致謝頁面

BlackBerry 2020年官網(wǎng)致謝頁面

在今年上半年，360 Sky-Go就向?qū)汃R提交過QNX漏洞，確認(rèn)了該通用操作系統(tǒng)漏洞對汽車安全存在直接的安全威脅，這也是全球首個使用了QNX系統(tǒng)0day漏洞影響汽車安全的案例。360 Sky-Go團隊對該類型漏洞的發(fā)現(xiàn)和上報，先后獲得了寶馬集團以及QNX發(fā)行商BlackBerry的官方致謝。

寶馬官網(wǎng)致謝頁面

360 Sky-Go是360政企安全集團于2014年成立的國內(nèi)早期研究智能網(wǎng)聯(lián)汽車安全的公司之一，在汽車信息安全領(lǐng)域擁有豐富的研究成果和實踐經(jīng)驗，依托360全面的數(shù)字化安全能力，形成一套符合國內(nèi)外法律法規(guī)要求的針對智能汽車的安全事件的監(jiān)測方案，以此來實現(xiàn)智能網(wǎng)聯(lián)汽車安全事件的可感、可視、可追蹤，為汽車行業(yè)提供合規(guī)檢測能力、道路車輛實時監(jiān)測能力以及安全運營服務(wù)。

近年來，360 Sky-Go團隊一直深耕在車聯(lián)網(wǎng)行業(yè)，致力于將車聯(lián)網(wǎng)安全研究向縱深演進，進一步推動國內(nèi)外車聯(lián)網(wǎng)產(chǎn)業(yè)的創(chuàng)新和安全發(fā)展。此前，360 Sky-Go安全團隊就曾全球獨家發(fā)布《梅賽德斯-奔馳安全研究報告》，披露并協(xié)助修復(fù)19個安全漏洞，獲得了梅賽德斯-奔馳官方的肯定。除此之外，360 Sky-Go還一直致力于推動車聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)在全國乃至全球范圍內(nèi)的建設(shè)與落地，今年一月份正式發(fā)布的ITU-T X.1376《使用大數(shù)據(jù)的聯(lián)網(wǎng)汽車安全異常行為檢測機制》作為中國牽頭的第一個汽車安全國際標(biāo)準(zhǔn)，就是由360 Sky-Go團隊根據(jù)多年攻防經(jīng)驗總結(jié)出的汽車網(wǎng)絡(luò)安全異常行為檢測機制。目前，360已累計牽頭標(biāo)準(zhǔn)制訂11項、累計參與標(biāo)準(zhǔn)制訂超過200項、累計發(fā)布標(biāo)準(zhǔn)超過90項、獲得各級標(biāo)準(zhǔn)化組織獎項7次。

未來，360 Sky-Go將繼續(xù)深耕汽車安全領(lǐng)域，在360政企安全集團數(shù)字化安全能力框架的指引下，不斷為守護數(shù)字化時代智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)安全健康的發(fā)展而做出努力。