环【huán】球快讯:顶象发【fā】布《车【chē】企App安全研究白【bái】皮书》，剖析品牌汽车App的两大【dà】类风险

近日，顶【dǐng】象发布《车企App安【ān】全【quán】研究白皮书》。该白皮书总结了【le】当前车【chē】企App主要面临的技术威胁和合规风险【xiǎn】，详【xiáng】细分析【xī】了风【fēng】险产生的原因【yīn】，并提出相【xiàng】应安全解决方案。

车企App成汽车品牌首选

自有App成【chéng】为各【gè】品牌汽车【chē】的标【biāo】配，也成【chéng】为车【chē】企必争的【de】新【xīn】战场。车【chē】企【qǐ】App不仅能够实现【xiàn】远程开【kāi】启空调、门锁、启【qǐ】动【dòng】车辆等功能，还提【tí】供购车、购买【mǎi】配件、维修、保养等基础【chǔ】服务，更承载着优化车【chē】主【zhǔ】用车体验、构建品牌私域流量池的新任务，成为车企与用户关系运营的重要【yào】渠道【dào】。车【chē】企【qǐ】App最【zuì】核心的功【gōng】能可以【yǐ】概括为服务、社区、商城【chéng】三个部分。服务是用户【hù】使用App的 基础需求；商【shāng】城通【tōng】过积分兑换提升用户粘性，通过商品售卖进行【háng】获利【lì】；社区【qū】则承担了增【zēng】强用户粘性【xìng】，提【tí】高用户活跃的重要功能【néng】。随【suí】着“以用户为中心”的市场战【zhàn】略【luè】和运【yùn】营【yíng】策略也在加快【kuài】落地，车机互联、车友社区、购物娱乐等功能不断完善【shàn】，车企App用户规模实现快【kuài】速增长。除了以上服务，对车辆软【ruǎn】硬件的操控，如解锁车门、升降车窗、远【yuǎn】程启动、查看车【chē】辆【liàng】行驶轨【guǐ】迹或当前位置等【děng】最“原始”的功【gōng】能【néng】。

车企App面临两类风险

随着车【chē】企App成【chéng】为汽【qì】车交互的【de】主【zhǔ】要【yào】入【rù】口之一，隐私、安全【quán】问题更是频频【pín】爆出。一辆【liàng】智【zhì】能网联汽车【chē】每天会【huì】产生大约10TB的数据【jù】，驾乘人员的出行轨迹、驾乘习惯、车内语音图像等个人信息都面临着被泄露的风险。攻【gōng】击【jī】者【zhě】可【kě】以通过网络漏洞攻击【jī】劫持或控制车辆行驶，实施关闭引擎、突然制【zhì】动、开【kāi】关车门等操控。数据显示，2020年全【quán】球针对智能网联汽车【chē】的【de】攻击【jī】达到【dào】280余万次【cì】。总体来说【shuō】，车企App面临技术与合规两重风险【xiǎn】。技术威胁主【zhǔ】要【yào】是【shì】包【bāo】含ROOT、模拟器攻击、验【yàn】证码【mǎ】爆破风【fēng】险、系统API Hook、代理环境、反编译、二次打包、通信、密码爆【bào】破、so文件【jiàn】、签名校验、动态调试、进程注入、数据明文储存、Logcat日【rì】志、任意文件上【shàng】传、SQL注入【rù】、XSS漏洞等风险。合规风险主要【yào】是监【jiān】管部门对APP的审查。据2019年到2023年《关于侵害用【yòng】户权益【yì】行为的App》通报显示，共【gòng】有【yǒu】2142款App/SDK遭【zāo】到处罚。这些【xiē】App主要存【cún】在违【wéi】规收【shōu】集【jí】、使用用户个【gè】人信息、不合理索取用户权限、为用户账号【hào】注销设置障碍等问【wèn】题，严【yán】重【chóng】侵犯了用户的【de】隐私和合法权益，监管部门【mén】按照《网络【luò】安全法》、《个人【rén】信息保护法》等法律法规，对违法违规【guī】的App通【tōng】报批评，甚至被下架处罚。

(资料图片)

车企App遭遇威胁攻击的三个原因

知名汽【qì】车网络安全【quán】公司UpstreamSecurity发布的2020年《汽车网络安【ān】全报告》显示【shì】，自2016年至【zhì】2020年1月【yuè】份，汽车【chē】网络安全【quán】事件【jiàn】增长了605%，仅【jǐn】2019年一年【nián】就增长【zhǎng】1倍以上。按照目前的发展【zhǎn】趋势，随着汽车联网率的不断提升，预计未来此类【lèi】安全问题将【jiāng】更加突出。

第一、从封闭到联网的变化。

随着汽【qì】车产业向智能化、网联化【huà】、共【gòng】享化、电动化为特征的“新【xīn】四化”方向狂飙迈【mài】进【jìn】，汽车不【bú】再只是孤立的交通工具，而【ér】是成为融入互联互通体系的信息终端，车与车、终端【duān】应用、路边基础【chǔ】设施以【yǐ】及【jí】云端之【zhī】间的联通【tōng】也随之【zhī】大大增强，由此导致更多的信【xìn】息安全【quán】接入点和风【fēng】险点【diǎn】被【bèi】暴露出来。业【yè】务、数据、用户信息、运营过【guò】程等均【jun1】处于【yú】边界模糊且日益开放的环【huán】境中，存【cún】在各类风险。

第二、层出不穷的新漏洞。

一辆智【zhì】能汽【qì】车【chē】的车载智能设【shè】备数量不小于100台，所有【yǒu】程【chéng】序代码不小于5000万行【háng】，因【yīn】此整【zhěng】个智【zhì】能驾驶代【dài】码将达【dá】2亿多【duō】行。代【dài】码数【shù】量【liàng】越是【shì】庞大，软件越是复杂【zá】，那么其中包含【hán】的漏洞就越【yuè】多，由此被攻击【jī】的概率也就越高。按照目前汽车平均拥【yōng】有一亿行代码来计【jì】算，每辆智【zhì】能汽车就可能【néng】存在10万个缺陷或漏洞。而这些【xiē】缺陷以及漏【lòu】洞会造【zào】成什么样的【de】风险，没有【yǒu】人可以预测。漏【lòu】洞是威胁的爆发源【yuán】头，无【wú】论【lùn】是病毒攻击还是黑客入侵大多是基于漏洞，业务、软件、系统、设备【bèi】都要漏洞，只【zhī】是有【yǒu】的被发现有的没被发现。软件漏洞、接口漏洞、管【guǎn】理【lǐ】漏洞等等。

第三、攻击者愈加专业。

攻击者呈现专业化、产业化、组织化【huà】的形态，他们熟悉业【yè】务流程以【yǐ】及防护逻辑【jí】，能够熟练运用【yòng】自动【dòng】化、智能化的【de】新【xīn】兴技术，不断开【kāi】发和优化各类【lèi】攻击工具【jù】，不断发起各【gè】类攻击。2021年【nián】机械工业出【chū】版社出版的《攻守道-企业数字业务安全风险与【yǔ】防范【fàn】》一书和中国信通院2022年发布的《业【yè】务安【ān】全白【bái】皮【pí】书》中有详细地【dì】分析：

网络黑【hēi】灰产彼此分工【gōng】明确、合作紧密、协同【tóng】作案，每【měi】一环【huán】节都有不同的牟利和运作【zuò】方式，形成一条完【wán】整【zhěng】的产业链。以大【dà】规模牟利为目的网【wǎng】络黑灰【huī】产，熟【shú】悉业务流程以及【jí】防护逻辑，能够熟练运用自动化、智能化【huà】的【de】新兴技术，不【bú】断【duàn】开发【fā】和优化各类攻击工具，不断发起各类欺诈【zhà】攻击。

相关数据显示，目【mù】前网【wǎng】络【luò】黑灰产从业人员近【jìn】200万之【zhī】众，每年造成的损失达数千亿元【yuán】。

车企App安全解决思路

安全加固。针对App普遍存在的【de】破【pò】解、篡改、盗版、调试【shì】、数据窃取等各类安全风【fēng】险提【tí】供的有效的安全防护手【shǒu】段，其【qí】核【hé】心加【jiā】固技术主要包含防逆向、防篡改【gǎi】、防调试【shì】及【jí】防【fáng】窃取这四大方面，不仅保护了【le】App自身安全，同时对App的运行环境【jìng】及业务场【chǎng】景提供【gòng】了保【bǎo】护。安全检测。通【tōng】过自动化检测和人工渗【shèn】透【tòu】测试法对【duì】App进行全【quán】面检测，并【bìng】挖掘【jué】出系统源码【mǎ】中可能存在的【de】安全风险、漏洞等问题，帮助开发者了解并提【tí】高其【qí】应用开【kāi】发【fā】程序的安全性，有效【xiào】预防可能【néng】存在的安全风险。《车企App安【ān】全研【yán】究白皮书》还详细【xì】介绍【shào】适用于车【chē】企App的安全产【chǎn】品，并着【zhe】重介【jiè】绍了多个【gè】车企App的安全实践【jiàn】案例，详细可以前往“顶象”官网免费下【xià】载。

业务安全大讲堂免费直播：立即报名

业务安全产品：免费试用

业务安全交流群：加入畅聊