SGS-筑牢芯片安全根基：未来汽车网络安全评估体系.pdf

1、1筑牢芯片安全根基：筑牢芯片安全根基：未来汽车网络安全评估体系未来汽车网络安全评估体系SGS C&P,Cybersecurity,BrightsightEstablishing a Robust Foundation for Chip Security:The Future of Automotive Cybersecurity Assessment SystemsAnson Xu|Cybersecurity Business Development 2 2自我介绍Anson Xu 徐灏徐灏网络安全业务拓展SGS Brightsight Chinan 网络安全业务拓展，专注在芯片和嵌入式系统安

2、信息全等方向；n 在网络安全和TIC领域拥有超过13年的工作经验。参与多项ISO15408通用标准ICT产品咨询与评估项目，以及ICT产品信息安全标准化工作。Wei Liu 刘威刘威中国区芯片安全实验室经理/芯片信息安全专家SGS Brightsight Chinan 曾任职于多家芯片设计公司，专注芯片安全分析；n 2022年取得NSCIB颁发的国际CC评估员资质；n 负责中国区芯片信息安全评估业务以及相关实验室的管理。3Contents SGS Socit Gnrale de Surveillance SA.(2025)n 从攻击事件看芯片安全的重要性n 汽车芯片信息安全的现状和问题n 汽车

3、芯片信息安全评估体系的四大重构l技术重构l流程重构l标准重构l生态重构n SGS Brightsight 汽车芯片信息安全评估服务介绍42020年年 针对某针对某Power PC架构的车规级主控芯片进行架构的车规级主控芯片进行EMFI攻击攻击n 论文：BAM BAM!On Reliability of EMFI for in-situ Automotive ECU Attacks 关于电磁故障注入在汽车ECU现场攻击中的可行性研究的论文l攻击方式攻击方式：利用电磁故障注入（EMFI）攻击，通过产生电磁脉冲干扰 ECU 在密码验证时的正常运行。研究人员使用 ChipWhisperer 设备配合

4、Python 脚本进行触发，精确控制电磁注入的强度、脉冲宽度和时机。在硬件设置上，构建了类似“专业修车厂”或“改装厂”能力的便携式攻击装置。在软件方面，通过功率分析对比正确和错误密码输入时的功耗变化，找到密码逻辑差异点，确定电磁注入的最佳时机，使 ECU 接受错误密码，从而绕过密码检查。l芯片安全问题芯片安全问题：该汽车微控制器芯片引导加载程序密码验证脆弱引导加载程序密码验证脆弱，缺乏电磁干扰防护设计缺乏电磁干扰防护设计，安安全机制易被绕过全机制易被绕过 等三个问题。从攻击事件看芯片安全的重要性2015年吉普切诺基年吉普切诺基n CVE-2015-5611l攻击方式攻击方式：研究人员通过车辆的

5、 Uconnect 信息娱乐系统的芯片漏洞，利用蜂窝网络远程入侵车辆。他们先利用 3G 伪基站与汽车通讯模组建立连接，获取联网模块的最高控制权限，再通过联网模块将篡改过的程序刷入 CAN 控制芯片，实现对车内 CAN 总线的完全控制，最后通过 CAN 控制器给车内其他控制器发送控制指令，实现对车辆的非法操控。l芯片安全问题芯片安全问题：信息娱乐系统的芯片缺乏足够的安全机制信息娱乐系统的芯片缺乏足够的安全机制，如通信加密和访问控制，使得攻击者能够绕过安全防护，同时 CAN 控制芯片也存在漏洞，容易被刷入篡改后的程序。5侧信道攻击案例侧信道攻击案例 2015年有学者利用智能手表传感器数据推断用户口

6、令，2020年有学者通过 Wi-Fi 信号推断电子支付口令，2021年法国和德国研究人员分别通过电磁信息窃取U 盾密钥。故障注入攻击案例故障注入攻击案例 2022年 Black Hat 会议上展示了对 Starlink 用户终端的电压故障注入攻击，2024年研究人员在树莓派 3 上通过电磁故障注入攻击攻克签名检查，欺骗签名检查机制加载恶意 TA 到 Trustzone 中。从攻击事件看芯片安全的重要性6汽车芯片信息安全的现汽车芯片信息安全的现状和问题状和问题7 7汽车芯片信息安全的重要性Automotive Grade MCUOSECU ApplicationAutoSARHSMSilicon