我们的客户：

作为世界上最大的汽车公司之一，我们的客户在欧洲、亚洲、非洲和美洲经营着数十家制造工厂。我们的客户的产品范围包括超过六个品牌下各种种类、尺寸和用途的车辆。它们每年为全球销售车辆和备件带来数千亿欧元的收入。

项目的挑战：

客户将一系列物联网连接功能引入到其整个乘用车系列中。因此需要可靠的安全合作伙伴，确保驾驶员的安全和隐私。我们需要对对网联汽车及其整个底层生态系统进行一系列安全评估和汽车渗透测试。凭借在信息安全领域多年的经验，我们非常合适。

我们的解决方案：

我们首先开展了一系列的技术培训，培训对象包含客户的产品团队和测试团队，我们的团队由一名安全架构师和两名汽车渗透测试工程师组成。这些培训为威胁建模提供了宝贵的输入。我们识别了一系列潜在的威胁、漏洞、风险信息资产以及影响。该项目的测试设备包括一辆我们远程通信的实际汽车。

我们主要执行手动测试，部分使用现成的解决方案来自动执行完成基本的覆盖率，包括测试敏感数据的不安全存储和个人身份信息的泄漏。手动测试涵盖整个攻击面，包括网络分析、Web 和移动渗透测试、代码分析和逆向工程。

为了执行汽车安全渗透测试，我们的团队模拟了两种类型的攻击。为了解决参数篡改漏洞，我们尝试操作客户端-服务器交换数据，如用户凭据和权限。为了评估中间人漏洞，我们尝试拦截和更改客户端和服务器之间的通信。

每轮测试都产生了一份全面报告，详细说明了已识别的漏洞、复现方案和修复建议。在客户的开发团队修复了报告的安全问题后，我们执行了修复测试进行验证。

我们的成果：

我们经历了三轮汽车渗透测试，每轮测试都由应用的新版本触发。这些安全测试的结果帮助我们的客户在安全和隐私方面得到增强。

我们帮助客户：

1. 识别关键的安全问题，如双重身份验证绕过和蓝牙漏洞，使汽车面临远程攻击 

2. 检测许多中等安全漏洞，包括PII泄漏和存储不安全

3. 为他们的互联汽车生态系统获得完整的保护

4. 建设了完整的安全测试流程体系和团队