环【huán】球快讯:顶象发【fā】布【bù】《车【chē】企App安全研究白皮书》，剖析品牌汽车App的两【liǎng】大类风险

近日【rì】，顶象【xiàng】发布《车【chē】企App安全【quán】研究【jiū】白皮书》。该白【bái】皮书总结了当前车企App主要面临的技【jì】术威【wēi】胁和合规风【fēng】险【xiǎn】，详细分析了风险产生的原【yuán】因，并【bìng】提出相应安全解决方案。

车企App成汽车品牌首选

自有App成为各【gè】品牌汽车的标配，也成为车企必争的新战【zhàn】场。车企App不仅能【néng】够【gòu】实现【xiàn】远程【chéng】开启空调、门锁、启动车辆等功能，还提供购【gòu】车、购买配件、维修、保养等基础服务，更【gèng】承【chéng】载着优化车主用车体验、构建品【pǐn】牌私域流【liú】量池的新任务，成为车企与用户【hù】关系【xì】运【yùn】营的重要渠道。车企App最核心的功能可以概【gài】括【kuò】为服务、社区、商【shāng】城三个部分。服务【wù】是【shì】用户使【shǐ】用App的【de】 基【jī】础【chǔ】需求；商城通过积分兑换【huàn】提【tí】升用户粘性，通过商品售卖进【jìn】行获利【lì】；社区则承担了【le】增强用户粘性，提高用户活跃的重要功能。随【suí】着“以用户为中心”的市【shì】场战略【luè】和运营【yíng】策略也在【zài】加快【kuài】落地，车机【jī】互联、车友社区、购【gòu】物娱乐等功【gōng】能不断完善【shàn】，车企App用户【hù】规模【mó】实现快速增长。除了以【yǐ】上【shàng】服务，对【duì】车【chē】辆软硬【yìng】件的操控，如解锁车门、升【shēng】降车窗、远程启动、查【chá】看【kàn】车【chē】辆行驶轨迹【jì】或【huò】当前位【wèi】置等最“原始”的功能。

车企App面临两类风险

随着车企App成为【wéi】汽车交互的主要入【rù】口之一，隐【yǐn】私、安全【quán】问题更是频频爆【bào】出。一辆智【zhì】能【néng】网【wǎng】联汽车每【měi】天【tiān】会产【chǎn】生大约10TB的数据【jù】，驾乘【chéng】人员【yuán】的出【chū】行轨迹、驾乘习惯、车【chē】内语音图像等个人信息【xī】都【dōu】面临着被泄露的风险【xiǎn】。攻击【jī】者【zhě】可【kě】以通过【guò】网络漏洞攻【gōng】击劫持或控制车辆行驶，实施关闭引擎、突然【rán】制动【dòng】、开【kāi】关【guān】车门等操控。数据显【xiǎn】示【shì】，2020年全球针对智能网【wǎng】联汽车的攻击达【dá】到280余万次。总体来说，车企【qǐ】App面临技【jì】术与合规两重风险。技术威胁主要【yào】是包含ROOT、模拟器攻【gōng】击、验证码爆破风险、系统API Hook、代理环境、反编译、二次打【dǎ】包、通信、密【mì】码爆破、so文件、签名校验、动【dòng】态调试、进程注【zhù】入、数据明文【wén】储存、Logcat日志、任【rèn】意文件上传、SQL注入、XSS漏洞等风险【xiǎn】。合规风险主要是监【jiān】管【guǎn】部门对APP的审【shěn】查。据2019年【nián】到【dào】2023年《关于侵害用户权益行为的App》通报显示，共有2142款App/SDK遭到处罚【fá】。这些App主要【yào】存在违规【guī】收集、使用【yòng】用【yòng】户个人信息、不合理索取用户【hù】权限、为用户账号【hào】注销设置【zhì】障碍等问题，严重侵犯了【le】用户的【de】隐私和合法权益【yì】，监管部门按【àn】照《网络安全法》、《个人【rén】信息保护法》等【děng】法律法规【guī】，对违法违规【guī】的App通【tōng】报批评，甚至被下架处罚。

(资料图片)

车企App遭遇威胁攻击的三个原因

知【zhī】名汽车网【wǎng】络【luò】安全【quán】公司UpstreamSecurity发布的2020年《汽车网【wǎng】络安全报告》显示，自2016年【nián】至2020年1月份，汽车网络安全事件增长了605%，仅2019年一年就增长1倍以上。按照目前的发【fā】展趋【qū】势，随着【zhe】汽【qì】车联【lián】网率的不断提升【shēng】，预计【jì】未来此【cǐ】类安全【quán】问题【tí】将更加突【tū】出。

第一、从封闭到联网的变化。

随着汽车产业【yè】向【xiàng】智能化【huà】、网联【lián】化、共享化【huà】、电动化【huà】为特【tè】征的【de】“新四【sì】化”方向狂飙【biāo】迈进，汽车不再【zài】只【zhī】是孤立的交通工具，而是成为融【róng】入互联互通体系的【de】信息【xī】终【zhōng】端【duān】，车与车、终端应用、路边基础设【shè】施【shī】以及云端之间【jiān】的联通也随之大大增强，由此导致更多的信【xìn】息安全接入点和风险点被暴露出来。业务、数【shù】据、用户信【xìn】息、运【yùn】营过程等均【jun1】处于边【biān】界【jiè】模糊且日益开放的环境中，存在各【gè】类【lèi】风险。

第二、层出不穷的新漏洞。

一辆智能汽车的车载智能设备数量不【bú】小于100台，所有程序代码不小于【yú】5000万行【háng】，因此整个智能驾驶代【dài】码将【jiāng】达2亿多行。代【dài】码数量越是庞大，软【ruǎn】件越是【shì】复杂，那么其【qí】中【zhōng】包含【hán】的【de】漏【lòu】洞就越多，由【yóu】此被【bèi】攻击的概率【lǜ】也就越高。按照【zhào】目【mù】前汽车【chē】平均拥有【yǒu】一亿【yì】行代码【mǎ】来计算，每【měi】辆智能汽车就可能存在10万个缺陷或漏洞。而这【zhè】些缺陷以【yǐ】及【jí】漏洞会造成什【shí】么样的风【fēng】险【xiǎn】，没有人可以预【yù】测。漏洞是【shì】威胁的【de】爆【bào】发源头，无论是病毒【dú】攻击还是黑【hēi】客入侵大多是基于漏【lòu】洞，业务、软件、系统、设备都【dōu】要漏【lòu】洞，只是【shì】有的【de】被发现有的没被发现。软件漏洞、接口漏洞、管理漏洞等等。

第三、攻击者愈加专业。

攻【gōng】击者呈现专业化、产业【yè】化、组【zǔ】织化的形态，他们熟【shú】悉【xī】业【yè】务流程【chéng】以及防护逻辑【jí】，能够熟练运用自动化、智能化的新【xīn】兴技术【shù】，不断开【kāi】发和优化各【gè】类攻击工具，不断【duàn】发【fā】起【qǐ】各类攻击【jī】。2021年机械工业出版社出【chū】版的《攻守【shǒu】道-企业数字业务安全风险与防【fáng】范》一【yī】书和中国信通院2022年发布的《业【yè】务安全白皮书》中有详细地【dì】分析：

网络黑灰产彼此分【fèn】工明确、合作紧【jǐn】密、协同作案，每一环节都有不同的牟利【lì】和运作方【fāng】式，形【xíng】成一【yī】条完整的【de】产业链。以大规【guī】模牟利为目的网络黑灰产【chǎn】，熟悉【xī】业务流程以及防【fáng】护【hù】逻辑【jí】，能够熟练【liàn】运用自动化、智能化的新兴技术，不断【duàn】开发和【hé】优化各类【lèi】攻击工具，不断发【fā】起各【gè】类欺【qī】诈【zhà】攻击。

相关数据显示，目前网络黑灰产【chǎn】从业人员近【jìn】200万之众，每年造【zào】成的损【sǔn】失达数千亿元。

车企App安全解决思路

安全加固。针对App普【pǔ】遍存在的【de】破【pò】解、篡改、盗【dào】版、调试【shì】、数【shù】据窃取等各类安全风险提供的有【yǒu】效的安全防护手段，其核心加固技【jì】术【shù】主【zhǔ】要包含防【fáng】逆【nì】向、防【fáng】篡改【gǎi】、防调试及防窃【qiè】取这四大方面【miàn】，不仅保护了App自【zì】身安全，同时对App的运行环境【jìng】及业务场景提供了保【bǎo】护。安全检测。通过自动化【huà】检测和人工渗【shèn】透测试法【fǎ】对App进行全面【miàn】检测，并挖掘出系【xì】统源码中可能【néng】存在的安全风【fēng】险、漏洞等【děng】问题，帮【bāng】助开发者了解并提高其【qí】应【yīng】用开发程序的安全性，有效预防可能存在的安全风险【xiǎn】。《车企App安【ān】全研究白【bái】皮【pí】书》还详细介绍【shào】适用于【yú】车企App的安【ān】全【quán】产品，并着重介绍了多个车企【qǐ】App的安全实践案例，详细可【kě】以【yǐ】前往“顶象【xiàng】”官网免费下载。

业务安全大讲堂免费直播：立即报名

业务安全产品：免费试用

业务安全交流群：加入畅聊