汽車級仿真模擬滲透測試服務
xScope是汽車級的滲透測試服務,可以按每個客戶的技術需求,提供不同等級的服務,包含已知的漏洞攻擊測試、未知的漏洞測試,與零日漏洞測試。測試範圍橫跨硬體、軟體、韌體、文件資料,甚至是整個車輛。
專為汽車產業而生
- 識別電子控制單元 (ECU) 和車載資訊娛樂 (IVI) 硬體和軟體漏洞
- 確認提供完整的軟體 / 韌體更新 (OTA) 的安全更新
- 辨別可能針對通訊協議的攻擊
搭載最新的車輛威脅情報
- 使用已知的漏洞攻擊測試來檢查系統是否存在已知的漏洞 (CVE)
- 用已知的技術進行漏洞可利用性測試 (exploitability test),以查找可能遺漏的漏洞
- 執行零日漏洞攻擊測試找出漏洞所在
符合汽車法規要求
- 符合 UN R155 規範和 ISO/SAE 21434 標準
- 遵循Open Source測試安全指南 (OSSTMM) 和OWASP研議出的開放式網路應用程式安全標準
- 針對可能存在的漏洞提出是否移除或修復的專家建議
xScope FAQ
什麼是 VicOne xScope?
VicOne xScope 是一套全面且高度彈性的車用等級滲透測試服務,專為汽車產業打造。xScope 提供零日漏洞可利用性測試、深度資安評估,以及快速弱點偵測等服務,並可依不同技術需求進行客製化,涵蓋硬體、軟體、韌體與整車等多層面的安全測試。
xScope 能測試哪些項目?
xScope 可針對 ECU 與車載資訊娛樂系統(IVI)的硬體與軟體漏洞進行測試,並涵蓋 OTA(Over-the-Air)更新機制安全性、通訊協定安全、韌體、文件資料,以及整車系統等多層面的安全評估。
xScope 提供哪些類型的滲透測試服務?
xScope 提供三種類型的安全評估服務,包括已知漏洞利用測試(驗證已知 CVE 漏洞)、利用既有工具與技術進行的可利用性測試,以及零日漏洞可利用性測試以發掘未知威脅。
xScope 是否符合車用資安法規要求?
符合。xScope 專為符合 UN R155 與 ISO/SAE 21434 等車用資安法規與標準而設計,除了採用 OSSTMM(Open Source Security Testing Methodology Manual)與 OWASP(Open Web Application Security Project)等測試方法論,也針對漏洞修補與風險緩解提供專業建議。
xScope 適合哪些類型的企業?
xScope 專為 Tier 1 供應商、乘用車製造商、商用車製造商、電動車製造商、電動車充電設備製造商,以及自動駕駛技術供應商而設計,協助企業在產品量產或法規稽核前驗證整體資安防護能力。
xScope 在車用資安漏洞研究方面有哪些優勢?
xScope 由 Trend Micro Zero Day Initiative™(ZDI)威脅研究計畫提供支援。自 2007 年以來,ZDI 一直是全球領先的漏洞研究計畫之一。於 Pwn2Own Automotive 活動中,VicOne 更在短短三天內協助發現 49 個聯網汽車與電動車充電設備的零日漏洞,在實戰中展現頂尖的漏洞研究與測試能力。
從我們的資源了解更多
深入了解 汽車網路安全
Blog
數千輛車輛暴露於風險之中:零日漏洞揭示車用資安的關鍵盲點
這篇文章分析在主流售後車用裝置中發現的多項零日漏洞,並將其對應至汽車威脅矩陣(Automotive Threat Matrix),進一步說明攻擊者在現實生活中可能如何利用這些關鍵弱點進行攻擊。
閱讀更多 →
Blog
當安全機制成為單點故障:汽車製造商的教訓
本文分析了近期影響某位高奢汽車品牌的車輛癱瘓事件:事件經過、可能發生與未發生的情況,以及汽車製造商如何避免防盜系統影響車輛的可用性和安全性。
閱讀更多 →
Blog
了解電動車充電通訊中的漏洞:資安洞察與更廣泛的影響
這篇文章分析了近期 DEF CON 33 大會上揭露的電動車 (EV) 充電通訊漏洞,說明其緩解措施和對整個產業所帶來更廣泛深遠的影響。
閱讀更多 →
Blog
來自Pwn2Own Automotive:零日漏洞如何暴露電動車充電樁網路安全標準的不足Standards
我們分析了Pwn2Own Automotive競賽中發現的電動車充電樁漏洞,揭示現行電動車充電樁網路安全標準的不足之處,以及為何更強大、更統一的資安防護措施對於保障充電基礎設施的安全至關重要。
閱讀更多 →