当前位置:首页 > 其它信息>【分散采购备案单】面向安卓平台的网联汽车车机系统高精度漏洞数据集及测试验证服务专项采购
其它信息
湖北省
公告内容
项目概况
| 项目名称 | 面向安卓平台的网联汽车车机系统高精度漏洞数据集及测试验证服务专项采购 | 项目编号 | BF2***2注册后查看9注册后查看5 |
| 开始时间 | 2****5-0**$3-0**$3 1**$3:1**$3 | 结束时间 | 2****5-0**$3-1**$3 1**$3:1**$3 |
| 供应商资格要求 | 参照《中华人民共和国政府采购法》第二十二条规定的资格条件。 | 预算金额(元) | 3注册后查看0.0**$3 |
| 采购方式 | 单一来源 | 拟定成交供应商 | 武汉安天信息技术有限责任公司 |
| 单一来源原因 | 1. 技术专有性与不可替代性2. 漏洞数据资源唯一性高精度漏洞数据集需覆盖3***0+个车联网漏洞且需持续更新漏洞规则知识库。供应商已建成行业领先的漏洞库,该数据集覆盖车载通信协议、操作系统内核到应用服务的全链条漏洞数据,包含3***0余个车联网专属漏洞特征,涵盖CAN总线畸形报文、Android车机权限绕过等典型风险。3. 服务本地化与应急响应刚性需求车机漏洞检测涉及大量敏感数据(如CAN总线通信日志、系统内核调试信息),需供应商技术人员现场部署检测工具、复现漏洞攻击链并提取取证数据。供应商与客户同处武汉市,可提供“2小时响应-8小时闭环”的本地化支持,确保在车机系统OTA升级验证、漏洞修复方案联调等高时效性环节实现实时协同。对比第三方异地供应商,其跨区域协作模式将引入至少4**$3小时以上的响应延迟,且无法保障车载系统渗透测试所需的全物理访问权限(如JTAG调试接口激活、硬件安全模块密钥注入)。4. 资质壁垒与行业合规门槛 | ||
采购服务信息列表
| 序号 | 货物(服务)名称 | 数量 | 计量单位 | 预算单价 | ||
|---|---|---|---|---|---|---|
| 1 | 网联汽车车机系统高精度漏洞数据集验证 | 1 | 套 | 3注册后查看0 | ||
| 技术参数 | 1.漏洞数据集技术规格漏洞数据集核心构成根据车联网系统的特性,面向Android平台的车机系统高精度漏洞数据集需涵盖多种关键漏洞类型且数量不低于3***0个,具体分为Framework层、Kernel层和Driver层。Framework层 主要分布在应用逻辑和配置层面,容易因编码不当或配置错误而产生;Kernel层主要集中在内核模块和系统核心功能上,一旦被利用,危害极大;Driver层通常出现在设备驱动程序中,由于硬件交互复杂,容易出现边界条件处理不当的情况。数据来源与标注规范数据源:Android安全公告、CNVD/CNNVD车联网专项漏洞库标注字段:字段名称内容示例漏洞IDCVE-2****3-2注册后查看7漏洞等级高危漏洞描述该漏洞源于权限绕过,隔离进程有可能注册广播接收器,这可能会导致无需额外执行权限的本地权限升级。影响范围Android 1**$3车机系统PoC验证环境高通SA8****5P+Android Automotive 1**$3数据交付形式结构化数据包:JSON格式漏洞特征库2.测试验证服务技术要求测试环境基线配置类别硬件要求软件要求网络架构要求基础平台车机硬件:SA8****5P芯片Android Automotive OS 1**$3 + QNX HypervisorCAN FD总线(5***0kbps速率)内存:≥6GB LPDDR4X定制中间件版本:v2.3.1(车企提供)车载以太网(1***0BASE-T1)辅助设备Vector CANoe接口卡(VN5****0)模糊测试工具:AFL++ 4.0cV2X通信模拟器(DSRC/LTE-V)测试内容(1)静态分析验证针对车机系统定制化代码开展深度检查,重点排查高风险编码模式。例如,在车企自主开发的语音助手模块中,扫描跨进程通信(Binder调用)是否存在未授权访问风险。通过逆向分析导航引擎的JNI层代码,发现某函数未对输入参数进行边界校验,可能引发整数溢出。对于车机预装的第三方应用,检查是否存在硬编码密钥等。(2)动态模糊测试在真实车载网络环境下模拟异常通信行为。通过CANoe设备向总线持续发送两类畸形报文:一类是ID超出标准范围(如0x8***0-0xFFF),另一类是数据场长度超过6**$3字节的异常帧。测试中发现,某车型网关ECU在接收超长诊断报文(UDS服务0x2**$3)时出现内存泄漏,连续发送5***0次后触发系统重启。同时,在车载以太网测试中,将DoIP协议的路由激活请求(0x0****3)伪装成车辆状态查询(0x0****1),成功绕过协议校验机制,暴露出控制指令未鉴权的缺陷。3. 采购交付物清单交付物类别具体内容漏洞数据集结构化漏洞库(超3***0个实例)、PoC代码包、攻击向量描述文档测试分析报告静态/动态测试原始数据、修复建议技术支撑文档数据集接入指南、测试环境搭建手册 | |||||
| 相关材料 | 附件:技术参数.docx | |||||
