项目概况
### 联汽车车机系统高精度漏洞数据集及测试验证服务专项采购 项目编号BF############ 开始时间####-##-## ##:##结束时间####-##-## ##:## 供应商资格要求参照《中华人民共和国政府采购法》第二十二条规定的资格条件。预算金额(元)######.## 采购方式单一来 ### 单一来源原因#. 技术专有性与不可替代性#. 漏洞数据资源唯一性高精度漏洞数据集需覆盖###+ ### 漏洞且需持续更新漏洞规则知识库。 ### 业领先的漏洞库,该数据集覆盖车载通信协议、操作系统内核到应用服务的全链条漏洞数据, ### 专属漏洞特征,涵盖CAN总线畸形报文、Android车机权限绕过等典型风险。#. 服务本地化与应急响应刚性需求车机漏洞检测涉及大量敏感数据(如CAN总线通信日志、系统内核调试信息), ### 署检测工具、复现漏洞攻击链并提取取证数据。 ### 武汉市,可提供“#小时响应-#小时闭环”的本地化支持,确保在车机系统OTA升级验证、漏洞修复方案联调等高时效性环节实现实时协同。对比第三方异地供应商,其跨区域协作模式将引入至少##小时以上的响应延迟, ### 需的全物理访问权限(如JTAG调试接口激活、硬件安全模块密钥注入)。#. ### 业合规门槛 采购服务信息列表
序号 货物(服务)名称 数量 计量单位 预算单价 #网联汽车车机系统高精度漏洞数据集验证 #套 ###### 技术参数 #.漏洞 ### 系统的特性,面向Android平台的车机系统高精度漏洞数据集需涵盖多种关键漏洞类型且数量不低于###个,具体分为Framework层、Kernel层和Driver层。Framework层 主要分布在应用逻辑和配置层面,容易因编码不当或配置错误而产生;Kernel层主要集中在内核模块和系统核心功能上,一旦被利用,危害极大;Driver层通常出现在设备驱动程序中,由于硬件交互复杂, ### 理不当的情况。数据来源与标注规范数据源: ### 、CNVD/ ### 专项漏洞库标注字段:字段名称内容示例漏洞IDCVE-####-#####漏洞等级高危漏洞描述该漏洞源于权限绕过,隔离进程有可能注册广播接收器, ### 权限的本地权限升级。影响范围Android ##车机系统PoC验证环境高通SA####P+Android Automotive ##数据交付形式结构化数据包:JSON格式漏洞特征库#.测试验证服务技术 ### 络架构要求基础平台车机硬件:SA####P芯片Android Automotive OS ## + QNX HypervisorCAN FD总线(###kbps速率)内存:≥#GB LPDDR#X定制中间件版本:v#.#.#(车企提供) ### (###BASE-T#)辅助设备Vector CANoe接口卡(VN####)模糊测试工具:AFL++ #.#cV#X通信模拟器(DSRC/LTE-V)测试内容(#)静态分析验证针对车机系统定制化代码开展深度检查,重点排查高风险编码模式。例如,在车企自主开发的语音助手模块中,扫描跨进程通信(Binder调用)是否存在未授权访问风险。通过逆向分析导航引擎的JNI层代码, ### 边界校验,可能引发整数溢出。对于车机预装的第三方应用,检查是否存在硬编码密钥等。(#) ### ### 为。通过CANoe设备向总线持续发送两类畸形报文:一类是ID超出标准范围(如#x###-#xFFF), ### 长度超过##字节的异常帧。测试中发现, ### 关ECU在接收超长诊断报文(UDS服务#x##)时出现内存泄漏,连续发送###次后触发系统重启。同时, ### 测试中,将DoIP协议的路由激活请求(#x####)伪装成车辆状态查询(#x####),成功绕过协议校验机制,暴露出控制指令未鉴权的缺陷。#. 采购交付物清单交付物类别具体内容漏洞数据集结构化漏洞库(超###个实例)、PoC代码包、攻击向量描述文档测试分析报告静态/动态测试原始数据、修复建议技术支撑文档数据集接入指南、测试环境搭建手册 相关材料 附件:技术参数.docx
查看剩余内容>>
发邮件
附件
收藏
