环球【qiú】快讯:顶象发【fā】布【bù】《车【chē】企【qǐ】App安全研究白皮书【shū】》，剖析品牌汽【qì】车App的两大类风险

近日，顶象【xiàng】发布《车【chē】企App安全研【yán】究【jiū】白皮书》。该白皮【pí】书总结了当前车【chē】企App主要面临【lín】的技术威胁和合【hé】规风【fēng】险，详细分【fèn】析了风险产生【shēng】的原因，并提出相应安全解决【jué】方案。

车企App成汽车品牌首选

自有App成为【wéi】各【gè】品牌汽【qì】车的标配，也成为车企必【bì】争的新战【zhàn】场。车企App不仅能够实现远程开启空调【diào】、门锁、启动车辆【liàng】等功能，还提供购车【chē】、购买配件、维修、保【bǎo】养等基础服务，更【gèng】承载【zǎi】着优化车主【zhǔ】用车体验、构建品牌私域【yù】流【liú】量池【chí】的新【xīn】任务【wù】，成为车企【qǐ】与用户关系运【yùn】营的【de】重要【yào】渠道。车企App最核心的功能可【kě】以概括为【wéi】服务、社区、商城【chéng】三个部【bù】分。服【fú】务是用户使用App的 基【jī】础【chǔ】需求【qiú】；商城【chéng】通过积分兑换提升用户粘性，通过商品【pǐn】售卖进行获利【lì】；社区则【zé】承担了【le】增强用户粘性，提高用户活跃的重【chóng】要功能。随着【zhe】“以用户为中心”的市场战略和运营策略【luè】也在【zài】加快【kuài】落地，车机互联、车友【yǒu】社【shè】区、购物娱乐【lè】等【děng】功能不【bú】断完善，车企App用户规模实现【xiàn】快速【sù】增长。除了以上服【fú】务，对【duì】车辆软硬件的操控，如解锁车门、升降车窗、远程启【qǐ】动、查看【kàn】车辆行【háng】驶轨迹或当前位置等【děng】最“原始”的功能。

车企App面临两类风险

随着车企App成为汽车交【jiāo】互的主要入【rù】口之一，隐私、安【ān】全问题【tí】更【gèng】是频【pín】频爆出。一辆智能网联汽车每【měi】天会产生大约【yuē】10TB的数据，驾乘人员的出行轨迹、驾乘习惯【guàn】、车【chē】内语【yǔ】音图像等个人信息都面临着被泄露的风险【xiǎn】。攻击者可以通过网络漏【lòu】洞【dòng】攻击劫【jié】持或控制车辆行驶【shǐ】，实【shí】施【shī】关闭引擎、突然制动、开关【guān】车门等【děng】操控。数据显示，2020年全球【qiú】针对智【zhì】能网联【lián】汽车的攻击【jī】达到280余万【wàn】次。总体来【lái】说，车【chē】企App面临技术与【yǔ】合规两重风【fēng】险。技术威胁主要是包含ROOT、模拟器攻击、验证【zhèng】码爆破风险【xiǎn】、系统API Hook、代【dài】理环【huán】境、反【fǎn】编译、二次打包、通信、密码爆破、so文件【jiàn】、签名校验【yàn】、动【dòng】态【tài】调试、进程注入、数据明文储存、Logcat日志、任意文件上传、SQL注入、XSS漏洞等风【fēng】险【xiǎn】。合规【guī】风【fēng】险【xiǎn】主要是监管部门对APP的【de】审【shěn】查。据2019年【nián】到2023年《关【guān】于【yú】侵害用户权益行为的App》通报显示，共有2142款App/SDK遭到处罚。这些【xiē】App主要存在【zài】违规收集、使用用户个人信息【xī】、不合理索取用【yòng】户权限、为用户【hù】账号注销设置障碍等问题，严重【chóng】侵犯了用户的隐私【sī】和合法权益，监管部【bù】门按照《网【wǎng】络安【ān】全法【fǎ】》、《个人【rén】信息保【bǎo】护法》等【děng】法律法规【guī】，对违法违规【guī】的App通报批评，甚【shèn】至被下架处罚。

(资料图片)

车企App遭遇威胁攻击的三个原因

知名汽【qì】车网络安全公司UpstreamSecurity发布的2020年《汽车【chē】网【wǎng】络安【ān】全报告》显示，自2016年【nián】至【zhì】2020年1月【yuè】份，汽车网络【luò】安【ān】全【quán】事件【jiàn】增长了605%，仅2019年【nián】一年就【jiù】增长1倍以上。按照目前的发展趋势，随着汽车联网【wǎng】率的不断提升，预计未来此【cǐ】类安全问题将更加【jiā】突出【chū】。

第一、从封闭到联网的变化。

随着【zhe】汽车产业向智能【néng】化、网联化、共享化、电动化为特征的“新四化【huà】”方向【xiàng】狂飙迈进，汽车不再只是【shì】孤立的交【jiāo】通【tōng】工【gōng】具，而是成为融入互【hù】联互【hù】通体系【xì】的信息终【zhōng】端，车与车、终端应用、路边基【jī】础设施以及云端之间的【de】联通【tōng】也随之大大增【zēng】强【qiáng】，由此导致更多的信息安全接入点和风【fēng】险点被暴【bào】露出来。业【yè】务、数据【jù】、用户信【xìn】息、运营过【guò】程等【děng】均处于【yú】边界模糊且日益开放【fàng】的环【huán】境中，存在各【gè】类风险。

第二、层出不穷的新漏洞。

一【yī】辆智能汽车的车载【zǎi】智【zhì】能设备数【shù】量不小于【yú】100台【tái】，所有程序代码不小于【yú】5000万【wàn】行，因此整个智能驾驶代码将达2亿多行。代码数量越是【shì】庞大，软件越是复杂，那么其中包含【hán】的漏洞就【jiù】越多，由此被攻击的【de】概率也就越高。按【àn】照【zhào】目前汽车平均【jun1】拥有一【yī】亿行代码来计算，每辆智【zhì】能汽【qì】车就【jiù】可能存在10万个缺陷或【huò】漏洞。而这些【xiē】缺【quē】陷以及漏洞会造成什么【me】样的风险，没【méi】有人【rén】可以预测。漏洞是威胁的爆发【fā】源头，无论是病【bìng】毒【dú】攻击还是黑客入侵大多是基于漏洞，业务【wù】、软件【jiàn】、系统、设备都要漏洞【dòng】，只是有【yǒu】的被发现有的没【méi】被发现。软【ruǎn】件漏洞、接口漏【lòu】洞、管理【lǐ】漏【lòu】洞等【děng】等。

第三、攻击者愈加专业。

攻击者呈现专业化、产业【yè】化、组织化的【de】形【xíng】态，他们熟悉业务流程以及防护逻辑，能够熟练运用自动化、智能化的新兴技术，不断开发和优化各【gè】类【lèi】攻【gōng】击工具，不断发起各【gè】类攻击【jī】。2021年机械工业【yè】出版社出【chū】版的《攻守道-企【qǐ】业数字【zì】业务安全【quán】风险与防范【fàn】》一书和【hé】中国信通院2022年【nián】发【fā】布的【de】《业务安全白皮书》中有详【xiáng】细地分析【xī】：

网络黑灰产彼此【cǐ】分工明确、合作紧密、协同【tóng】作案，每一环节都有【yǒu】不同的牟【móu】利和运作方式，形【xíng】成一条完整的【de】产业链。以大规模牟利为【wéi】目的网络黑【hēi】灰产【chǎn】，熟【shú】悉业务流【liú】程以及防护逻辑，能够熟【shú】练运用自动化、智能化的【de】新兴技术，不断【duàn】开发和优化各类攻击工具【jù】，不断【duàn】发起各类欺【qī】诈攻击。

相【xiàng】关【guān】数据【jù】显示，目前【qián】网络黑灰【huī】产从业人员近200万之众，每年造成的损失达数【shù】千【qiān】亿元。

车企App安全解决思路

安全加固。针对App普遍【biàn】存在【zài】的破解【jiě】、篡【cuàn】改、盗版【bǎn】、调试、数据窃【qiè】取等各类安全风险提【tí】供的有效的【de】安【ān】全防护手段，其核心加固技术主要包含防逆向、防篡改、防调试及防窃【qiè】取【qǔ】这四大方面，不【bú】仅保护【hù】了App自【zì】身安全，同【tóng】时对App的运行环【huán】境及业务场景提供【gòng】了保护。安全检测。通过自动化检【jiǎn】测和人工【gōng】渗透测试法对App进行全面【miàn】检测，并挖掘出系统源码中可能存在的安全风险、漏洞【dòng】等问题【tí】，帮助【zhù】开发【fā】者了解并提高其【qí】应用开【kāi】发程序【xù】的安全性，有【yǒu】效预防【fáng】可【kě】能存在的安全风险。《车企App安全研【yán】究白【bái】皮【pí】书》还详细介绍适用于车企App的安全产品，并着【zhe】重介绍了多个车企App的安【ān】全实【shí】践案例，详【xiáng】细可以前往“顶象”官网免费下【xià】载。

业务安全大讲堂免费直播：立即报名

业务安全产品：免费试用

业务安全交流群：加入畅聊