Penetrationstester av fordon

Assured Security Consultants utför djupgående penetrationstester inom fordonsindustrin för att säkerställa att fordon, ECU:er, backend-system, mobilappar och kringliggande infrastruktur är skyddade mot moderna cyberhot.

Våra specialister använder avancerade tekniker, djup kunskap om protokoll, reverse engineering och specialiserade verktyg för att bedöma säkerheten i komponenter i fordonets hela ekosystem.

Läs mer om våra tjänster inom penetrationstest

Vi erbjuder även specialiserade tester av webbapplikationer/API:er och mobilapplikationer, som ofta utgör kritiska delar av fordonets attackyta.

Penetrationstester inom fordonscybersäkerhet

Moderna fordon är komplexa, sammankopplade system bestående av inbyggda styrenheter, molntjänster, trådlös kommunikation, mobilapplikationer och mekanismer för OTA-uppdateringar. Vi testar fordon och komponenter enligt relevanta standarder som UNECE R155/R156 och ISO 21434 där vi säkerställer att de både uppfyller regulatoriska krav och står emot verkliga angreppsscenarier.

Assured Security Consultants genomför säkerhetsbedömningar av:

  • Diagnossystem (t.ex. UDS/KWP2000 över CAN, DoIP)
  • Infotainmentsystem, in-car-appar och anslutningar (Wi-Fi, Bluetooth, BLE, NFC, radio)
  • Digital Key / Phone-as-a-Key-system
  • Interna kommunikationsbussar (CAN, automotive Ethernet, LIN, FlexRay)
  • Telematikenheter, backend-tjänster och fleet management-system
  • OTA-uppdatering
  • Kryptografiska implementationer och certifikathantering
  • Molntjänster och mobilappar som stöder fordonet
  • Enskilda ECU:er eller fullständiga fordon i integrerade tester
  • Övervakade tester (witnessed audits) för typgodkännande enligt UNECE R155/R156

Våra tester är alltid skräddarsydda – från riktade komponentgranskningar till heltäckande fordonstester.

Testning av ECU:er, telematik och interna fordonsnätverk

Vi har omfattande erfarenhet av att testa säkerheten i inbyggda fordonskomponenter såsom infotainmentsystem, telematikenheter, gateways, ADAS-styrenheter och body modules.

I våra bedömningar identifierar vi bland annat:

  • Osäkra diagnostjänster eller bristande skydd i Security Access
  • Svagheter i UDS/DoIP-implementationer
  • Avsaknad av isolering/segmentering mellan fordonsnätverk
  • Sårbarheter i ECU-firmware
  • Otillräcklig autentisering mellan komponenter
  • Möjliga angriparvägar via mobilappar, infotainment eller trådlösa gränssnitt
Läs mer om vanliga sårbarheter i fordonskomponenter i vår blogg

Testning kan utföras i rigg, i fordon eller via firmwareavbildningar.

Penetrationstest av hela fordonet

"Full-Vehicle"-pentest simulerar realistiska angreppsscenarier för att identifiera svagheter i hela fordonets ekosystem, från sensorer och ECU:er till molntjänster och telematik (backend).

Vår metod för Automotive Penetration Testing

Vår metodik följer ett strukturerat angreppssätt för att säkerställa heltäckande täckning:

  • Avgränsning och planering (Scoping): Vi definierar tillsammans det scope som motsvarar ert system och som täcker regulatoriska krav. Det kan omfatta enskilda ECU:er, telematikenheter, molntjänster, mobilappar eller ett fullständigt fordonstest. Dokumentation, arkitektur-/nätverkskartor, tjänstebeskrivningar och användaråtkomst ordnas i detta steg.
  • Uppstartsmöte: Vi inleder projektet med ett kickoffmöte för att säkerställa samsyn, överlämna eventuella åtkomstuppgifter eller diagnosnycklar och bekräfta tillgänglighet av testobjekt.
  • Informationsinsamling och rekognosering: Vi kartlägger arkitekturen, nätverken, fordonstjänsterna och mjukvarukomponenterna. Detta kan innefatta bussanalys, firmwareextraktion, molnrekognosering och applikations/API-analys.
  • Testfas: Vi utför riktade tester, exempelvis:
    • Diagnos- och tjänstetestning: UDS/ISO-14229, DoIP, Security Access, rutinkontroller och vägar till omprogrammering.
    • Trådlös- och anslutningstestning: Wi-Fi, Bluetooth, BLE, NFC, mobilnätsuppkoppling och Digital Key.
    • Infotainment och appar: Filhantering, sandboxing, webbläsarkomponenter, tolkning av mediafiler och externa gränssnitt.
    • Interna nätverk: Bussåtkomst, meddelandeinjektion, spoofing, förbigång av gateway och nätverksisolering.
    • Backend och telematik: API-autentisering, MQTT/HTTP-gränssnitt, fleet management-portaler och molninfrastruktur.
    • Firmware & reverse engineering: Kryptografisk granskning, analys av installationsfiler och installerade paket samt sårbarhetsidentifiering.
    • Specialmål (valfritt): Angreppsmål kopplade till komponenter i specifika fordonsmodeller, som t.ex. immobiliser, Digital Key eller säkerhetskritiska ECU:er.
  • Slutanalys och genomgång: Vi sammanställer våra fynd, tilldelar risknivåer och mappar dem mot relevanta standarder såsom ISO 21434 och UNECE R155. Rekommendationer omfattar både direkta åtgärder och långsiktiga förbättringar.
  • Rapportering och presentation: Ni får en detaljerad rapport och en genomgång. Vi säkerställer att utvecklings-, cybersäkerhets- och compliance-team förstår sårbarheterna och hur de ska åtgärdas. Våra rapporter är tydliga, evidensbaserade och anpassade för automotive-sammanhang.
Läs mer om vårt arbete inom fordonssäkerhet

Tjänster efter penetrationstestet

Efter penetrationstestet har ni en tydlig bild av er produkts säkerhetsnivå och identifierade sårbarheter.

Vi erbjuder även:

  • Rådgivning och utbildning: Vi erbjuder stöd och kompetenshöjning för utvecklingsteam inom säkerhetsgrunder, kryptografi och säker design av fordonsystem.
  • Verifieringstester: När åtgärder är genomförda utför vi verifieringstester för att bekräfta att sårbarheterna är lösta.
    • Resultaten levereras i en kompakt rapport som kan delas med myndigheter, partners eller andra intressenter som oberoende bevis på utförda tester och åtgärdade brister.

Varför välja Assured Security Consultants?

Assured Security Consultants är experter på fordonscybersäkerhet med mångårig erfarenhet av penetrationstester och säkerhetsgranskningar av komplexa fordonsystem. Vi förstår de unika utmaningarna med att säkra moderna fordon, från inbyggda styrenheter till molnanslutna tjänster. Vårt team har djup kunskap om fordonsprotokoll, standarder och branschpraxis, vilket gör att vi kan leverera högkvalitativa penetrationstester som möter fordonsindustrins krav.

Vi har expertis inom hela automotive-ekosystemet, från ECU:er, inbyggd mjukvara, UDS/DoIP, OTA och Digital Key till telematikplattformar och mobilappar.

Våra rapporter är omfattande och anpassade för fordonsindustrin, med tydliga och åtgärdsbara rekommendationer som ligger i linje med regulatoriska krav och industristandarder. Rapporternas riskbedömning baseras på potentiell påverkan på fordonssäkerhet, integritet och efterlevnad av UNECE R155/R156 och ISO/SAE 21434.

Vi erbjuder också löpande stöd, inklusive verifieringstester och rådgivning under hela utvecklingslivscykeln.

Säkra era fordonsprodukter med Assured Security Consultants och ligg steget före regulatoriska krav och framväxande hot. Lämna ett meddelande nedan eller kontakta oss för att boka ett penetrationstest inom automotive eller för att diskutera era behov.

Fordon | Assured AB, IT-säkerhetskonsulter