环球快讯:顶象发布【bù】《车企App安全【quán】研究【jiū】白皮书》，剖析品【pǐn】牌汽车App的【de】两大类风险

近日，顶象发布《车企App安全【quán】研究白皮书》。该白皮书【shū】总结了当【dāng】前车企App主要【yào】面临的【de】技术威【wēi】胁和合规风险，详细分析了风险产生的原因【yīn】，并提出相应安全【quán】解决方【fāng】案【àn】。

车企App成汽车品牌首选

自有App成为各品牌【pái】汽车的标【biāo】配，也成为车企必争的新战场。车企App不仅能够实现远程开启空调、门锁、启动车【chē】辆等功能，还提供购车、购买配件、维修【xiū】、保养等基础服务，更【gèng】承载着优【yōu】化车【chē】主【zhǔ】用车体验、构建品牌私域流量池【chí】的新【xīn】任务，成为车企与用户关系【xì】运营的【de】重要渠【qú】道【dào】。车【chē】企App最核心的【de】功【gōng】能可【kě】以概括为服务、社区、商城三个部分。服务是用户使用【yòng】App的 基础需求；商城通【tōng】过积分兑换提升【shēng】用户【hù】粘性【xìng】，通过商品【pǐn】售卖进行获利；社【shè】区则承担了增强用户粘【zhān】性【xìng】，提高用户活跃的重【chóng】要功能。随着“以【yǐ】用户为【wéi】中心”的【de】市场【chǎng】战略和运【yùn】营策略也在加【jiā】快【kuài】落地，车机【jī】互联【lián】、车友社【shè】区、购物娱【yú】乐等功能不断【duàn】完善，车企App用户规模实现快速增长【zhǎng】。除了以上服务，对车辆软硬件的操控，如解【jiě】锁【suǒ】车门【mén】、升【shēng】降车窗、远程启【qǐ】动、查看车辆【liàng】行驶轨【guǐ】迹或当前位置等最“原始”的功【gōng】能。

车企App面临两类风险

随【suí】着车企App成【chéng】为汽车交互的【de】主要入口之【zhī】一，隐私、安全问题更是频频爆出。一辆智能网【wǎng】联汽车【chē】每天会产生大【dà】约【yuē】10TB的数【shù】据，驾乘人【rén】员的出行【háng】轨【guǐ】迹、驾【jià】乘习惯、车【chē】内【nèi】语音【yīn】图像等【děng】个人【rén】信【xìn】息都【dōu】面临着被泄露【lù】的风险。攻击者可以通过网络【luò】漏洞【dòng】攻击劫持【chí】或控制【zhì】车辆行驶，实【shí】施关闭【bì】引【yǐn】擎、突然制动、开关车门等【děng】操【cāo】控。数据显示，2020年全球针对智能网【wǎng】联【lián】汽【qì】车【chē】的【de】攻击达到280余万【wàn】次。总体来说，车【chē】企App面【miàn】临技术与合规两重风险。技术威【wēi】胁主要是包含【hán】ROOT、模拟器攻击、验【yàn】证码爆破风险、系统API Hook、代理环境、反编译、二次打包【bāo】、通信、密码【mǎ】爆【bào】破、so文件、签名校验、动态调试、进【jìn】程注入【rù】、数据【jù】明文储【chǔ】存、Logcat日【rì】志、任意文件上传、SQL注入、XSS漏【lòu】洞等风险。合规风险【xiǎn】主要是监【jiān】管【guǎn】部门对APP的审查。据【jù】2019年到【dào】2023年《关【guān】于侵害用户权益行为的App》通报显示，共有2142款App/SDK遭到处罚。这些App主要存在违规收集【jí】、使用【yòng】用户【hù】个人信息、不合理索取用户【hù】权限、为用户账号注【zhù】销设置障碍【ài】等问题，严重侵犯了用户的隐私和合法权益【yì】，监管【guǎn】部门按照《网【wǎng】络安全法》、《个人信息【xī】保护法》等【děng】法【fǎ】律【lǜ】法规，对违法【fǎ】违规的【de】App通报批评，甚至【zhì】被下【xià】架处罚。

(资料图片)

车企App遭遇威胁攻击的三个原因

知名汽【qì】车网络【luò】安全公司UpstreamSecurity发【fā】布的【de】2020年《汽【qì】车【chē】网络安全【quán】报【bào】告》显示，自2016年至2020年1月份，汽车网【wǎng】络安全事件增长了605%，仅2019年一年【nián】就增长【zhǎng】1倍以【yǐ】上。按照目前【qián】的发展趋势，随着汽车联网率的不断提升，预计未来此【cǐ】类【lèi】安【ān】全问题将更加突出。

第一、从封闭到联网的变化。

随着汽【qì】车产业向智能化、网联化、共享化、电动化为特征的“新四化”方向狂【kuáng】飙迈【mài】进【jìn】，汽车不再只是孤立的交【jiāo】通工具，而【ér】是成为融入互【hù】联互通体系的信息终端，车与【yǔ】车【chē】、终端应用、路边基【jī】础【chǔ】设施【shī】以【yǐ】及云端之间的【de】联通也随【suí】之大大增【zēng】强【qiáng】，由此导致更多【duō】的【de】信息【xī】安全【quán】接入点和风险点被暴【bào】露出来。业【yè】务、数据、用户信息、运营过程【chéng】等均处于边【biān】界模糊且日益开放的环境中，存【cún】在各类风险。

第二、层出不穷的新漏洞。

一辆智能汽车的车载智【zhì】能设备数量不小于100台，所有【yǒu】程序代【dài】码【mǎ】不小于5000万行，因此整【zhěng】个智能驾【jià】驶【shǐ】代码将达2亿多行。代码数量【liàng】越是庞大，软件越【yuè】是复杂，那么其中包含的漏洞【dòng】就越多【duō】，由此被攻击的【de】概率【lǜ】也【yě】就越高。按照【zhào】目前汽车【chē】平均拥有【yǒu】一亿【yì】行代【dài】码来计算，每辆【liàng】智能汽车就可能【néng】存在10万个【gè】缺陷【xiàn】或漏洞。而【ér】这些缺陷以及【jí】漏【lòu】洞会造成什么样的风险，没有人可【kě】以预测。漏【lòu】洞是威胁的爆发源头，无论是病毒攻击还是黑【hēi】客入侵大多是基于漏洞，业务、软件【jiàn】、系【xì】统、设备都要漏洞【dòng】，只【zhī】是【shì】有的被发【fā】现有的没被发现。软件漏洞【dòng】、接口漏洞【dòng】、管理漏洞等等。

第三、攻击者愈加专业。

攻击者呈【chéng】现专业【yè】化、产【chǎn】业化、组织【zhī】化【huà】的形态，他们熟【shú】悉业【yè】务流程以及防护逻辑，能够【gòu】熟【shú】练运用自动化、智能化的新兴技术，不断开发和优化各【gè】类攻击工【gōng】具，不断发【fā】起【qǐ】各类攻击【jī】。2021年【nián】机械工业出版社出【chū】版的《攻守道-企业数字业务【wù】安全风险与防范》一书和【hé】中国信通院2022年【nián】发布的《业务安全白【bái】皮【pí】书》中有详细地分【fèn】析【xī】：

网络黑灰产彼【bǐ】此分工明确、合作【zuò】紧密【mì】、协【xié】同作案，每【měi】一环【huán】节都【dōu】有不同的【de】牟利和运作方式，形【xíng】成一条完整的产业链【liàn】。以大规模牟利为目的网络黑灰【huī】产，熟悉业务流程以【yǐ】及防【fáng】护逻【luó】辑，能【néng】够熟练运用【yòng】自动化、智能化的新兴【xìng】技【jì】术，不断开发和优化各类攻击工【gōng】具【jù】，不断发起各【gè】类欺诈攻击。

相关数据显示，目【mù】前【qián】网络黑灰【huī】产从业人员近200万之众，每年造【zào】成的损失达【dá】数千亿【yì】元。

车企App安全解决思路

安全加固。针对【duì】App普遍存在的破【pò】解、篡改、盗版【bǎn】、调试、数【shù】据窃取等【děng】各类【lèi】安全风【fēng】险【xiǎn】提供的有效的【de】安全防护【hù】手段【duàn】，其核心加固技术【shù】主要包含【hán】防逆向【xiàng】、防篡改、防调试及防窃取这四大方面，不仅保护了App自身安全，同时对App的运行环境【jìng】及业【yè】务场景提供【gòng】了保护。安全检测。通过自动【dòng】化检测和【hé】人工渗透测试法对App进行全面检【jiǎn】测，并挖掘出系统【tǒng】源【yuán】码中可【kě】能存在【zài】的安【ān】全【quán】风险、漏洞等问题，帮助开发者了解并提高其应用开发程序的安【ān】全性，有效预防可能存【cún】在的安全风【fēng】险。《车企App安全研究白皮书》还【hái】详细介【jiè】绍适用于【yú】车企App的安全产【chǎn】品【pǐn】，并着重【chóng】介绍【shào】了多个车企App的安全实践案例，详细可以前往“顶象【xiàng】”官网免费下载。

业务安全大讲堂免费直播：立即报名

业务安全产品：免费试用

业务安全交流群：加入畅聊