环球快讯:顶象发【fā】布《车企App安全研【yán】究白皮书》，剖【pōu】析品【pǐn】牌【pái】汽车App的两【liǎng】大类风险【xiǎn】

近日，顶象发布《车企App安全研【yán】究白皮书》。该白皮【pí】书【shū】总结【jié】了当前车企App主要面【miàn】临的【de】技术威胁和合规风【fēng】险，详细分【fèn】析了风险【xiǎn】产生的【de】原因，并提出相应安全解决【jué】方案。

车企App成汽车品牌首选

自有App成为各品【pǐn】牌汽【qì】车的标配，也成为车企必争的新战【zhàn】场。车企【qǐ】App不仅能够实现远程开启空调、门【mén】锁、启【qǐ】动车辆等【děng】功能，还提供购【gòu】车、购买配件、维【wéi】修、保养等基【jī】础服务，更承载【zǎi】着优【yōu】化车主用车体验、构建品牌私域流量池的新【xīn】任务【wù】，成为车【chē】企与用户关系【xì】运【yùn】营的重要渠道。车企App最核心的【de】功能【néng】可【kě】以概【gài】括为服务【wù】、社区、商【shāng】城三个部分。服务是用户使用【yòng】App的 基础需求；商城【chéng】通过积分【fèn】兑换提升用【yòng】户粘性，通过商品售卖进行获利；社区则承【chéng】担了增强【qiáng】用户粘性，提高用户活【huó】跃的重要【yào】功能【néng】。随着“以用户为中心【xīn】”的市【shì】场战【zhàn】略【luè】和运营策略【luè】也在加【jiā】快落地，车机【jī】互联、车【chē】友社【shè】区、购物娱乐等【děng】功能不断完善，车企App用户规模实现快速增长【zhǎng】。除了【le】以【yǐ】上服务，对车辆软硬【yìng】件的操控【kòng】，如解锁车门、升降车窗、远程启动、查看车辆行驶轨迹或【huò】当前【qián】位置等【děng】最“原【yuán】始”的功能。

车企App面临两类风险

随着车企App成为【wéi】汽车交互【hù】的主要【yào】入口【kǒu】之【zhī】一，隐私、安全问【wèn】题更是频频【pín】爆出。一辆智【zhì】能网联【lián】汽车每天会产【chǎn】生大约10TB的数【shù】据，驾乘人员的出行【háng】轨迹、驾乘习惯、车内【nèi】语音图像等个人信息都面临着【zhe】被泄露【lù】的风险【xiǎn】。攻【gōng】击者可以通过网络漏洞攻击劫【jié】持或【huò】控制车辆【liàng】行驶，实施关闭引擎、突【tū】然制动、开关车门等操控【kòng】。数【shù】据显示，2020年全球针【zhēn】对智能网联汽【qì】车的【de】攻击达【dá】到280余万【wàn】次。总体来说，车企App面【miàn】临技术与合规两重风险。技术威胁主要是包含ROOT、模拟器攻击、验证码【mǎ】爆破【pò】风险、系统API Hook、代理【lǐ】环境、反编译【yì】、二次打【dǎ】包、通信、密码爆【bào】破【pò】、so文件【jiàn】、签名校验、动态调【diào】试、进程注【zhù】入、数据明【míng】文储存、Logcat日志、任意文件上传【chuán】、SQL注入、XSS漏洞等风【fēng】险。合规风险主【zhǔ】要是监管【guǎn】部【bù】门对【duì】APP的审查。据2019年到2023年《关于侵害【hài】用户【hù】权益行为的【de】App》通报显【xiǎn】示，共【gòng】有2142款【kuǎn】App/SDK遭【zāo】到处罚。这些App主要【yào】存【cún】在违规收集、使用用户个人【rén】信息、不【bú】合理索取用户【hù】权【quán】限【xiàn】、为用户账号注【zhù】销设置【zhì】障碍【ài】等问题，严重侵犯了用户的【de】隐私和【hé】合法权益，监管部门按照《网络安全法》、《个人信息保护【hù】法》等法律法规，对违法违规的App通报批评，甚至被下架处罚【fá】。

(资料图片)

车企App遭遇威胁攻击的三个原因

知名【míng】汽车网络安全公司UpstreamSecurity发布的【de】2020年《汽车网络【luò】安全报告》显【xiǎn】示，自2016年至【zhì】2020年1月份，汽车网络安全【quán】事件增长了【le】605%，仅2019年一【yī】年就【jiù】增长1倍【bèi】以【yǐ】上【shàng】。按【àn】照【zhào】目前的发展趋势，随着汽车联网率的不断提升，预计未来此类安全问题将【jiāng】更加突出。

第一、从封闭到联网的变化。

随【suí】着汽车产业向智能化、网【wǎng】联【lián】化、共享化、电动化为【wéi】特征【zhēng】的“新四化”方向狂飙迈进【jìn】，汽车不再只是孤立【lì】的交通工具，而是成【chéng】为融入【rù】互联互通体系的【de】信息【xī】终端，车【chē】与车、终【zhōng】端应【yīng】用、路【lù】边基础设施以及云端之【zhī】间的联通也随之大大【dà】增强【qiáng】，由此导致【zhì】更多的信【xìn】息安【ān】全【quán】接入点和风险点被暴露出来【lái】。业务、数【shù】据、用户信息、运营过程等均处【chù】于边界模糊且日益开放的环【huán】境【jìng】中，存在各类风险。

第二、层出不穷的新漏洞。

一辆智能汽车【chē】的车载智能设备【bèi】数量不【bú】小于100台，所有程序代码不小【xiǎo】于【yú】5000万行【háng】，因此【cǐ】整个智能驾驶代码将达2亿多行【háng】。代码数量越【yuè】是【shì】庞大，软件越是复杂【zá】，那么【me】其中包【bāo】含的漏洞就越多，由此【cǐ】被攻击的概【gài】率也就越高。按照【zhào】目前汽【qì】车平均拥【yōng】有一亿【yì】行代码来计算，每辆智能汽车就可能【néng】存【cún】在10万个缺陷或漏洞。而这些缺陷以【yǐ】及漏【lòu】洞【dòng】会造成什么样的风【fēng】险，没有人可以预测。漏洞是威胁的爆发源头，无【wú】论是病毒攻击还是黑客入【rù】侵大多是基于漏洞，业务【wù】、软件【jiàn】、系统、设备【bèi】都【dōu】要漏【lòu】洞，只是有【yǒu】的被发【fā】现【xiàn】有的没被发现。软件漏【lòu】洞、接口漏【lòu】洞【dòng】、管理【lǐ】漏洞等等。

第三、攻击者愈加专业。

攻击者呈现专业化、产业化、组织化【huà】的形态，他们熟【shú】悉业务流程以【yǐ】及防护逻【luó】辑，能够熟练运用自动【dòng】化、智能化【huà】的【de】新【xīn】兴技术，不断开发和优化各【gè】类【lèi】攻击工【gōng】具，不断发起各类【lèi】攻击。2021年机械工业出【chū】版社出版的《攻守道【dào】-企业数字业【yè】务安全风【fēng】险【xiǎn】与防【fáng】范》一书和【hé】中国信【xìn】通院2022年发布【bù】的《业务安全白皮书》中有详细地分析【xī】：

网络黑灰产彼此分工明确、合作【zuò】紧【jǐn】密、协同作案，每【měi】一环节都【dōu】有不【bú】同的牟利和运作方式，形成一【yī】条完整的产业链。以大规模牟利为目的【de】网络【luò】黑灰产，熟悉业务流【liú】程以【yǐ】及【jí】防护逻辑，能够【gòu】熟练运用自动化、智能【néng】化【huà】的新兴技【jì】术，不断开【kāi】发和【hé】优化【huà】各类攻击工具，不断发起各类【lèi】欺诈攻【gōng】击。

相关【guān】数据显示，目前网【wǎng】络黑灰产从业人员近200万之众，每年造【zào】成的损失【shī】达【dá】数千亿【yì】元。

车企App安全解决思路

安全加固。针对App普遍存在的破解、篡改、盗版、调试、数据【jù】窃【qiè】取等各类安【ān】全风险提供的有效【xiào】的安全防【fáng】护手段，其核心加固【gù】技术主要包【bāo】含防【fáng】逆向、防篡改、防【fáng】调试及防窃取这四【sì】大方面，不仅【jǐn】保护了App自身【shēn】安全，同时对App的运【yùn】行环境【jìng】及【jí】业务场景提供【gòng】了保护。安全检测。通过自动【dòng】化检测【cè】和人【rén】工渗【shèn】透测试法对App进行全面检测，并挖掘出系统【tǒng】源【yuán】码【mǎ】中可能存【cún】在的【de】安全风险、漏洞【dòng】等问题，帮助开【kāi】发者了解【jiě】并提高其【qí】应用开发程序的安全【quán】性，有【yǒu】效预防可能存在的安全风险。《车企App安全研究白皮书【shū】》还详细介绍适用【yòng】于车企App的安全产【chǎn】品，并着重介【jiè】绍了【le】多个车企App的安【ān】全实【shí】践案例，详细【xì】可以前【qián】往“顶象”官网免费下载。

业务安全大讲堂免费直播：立即报名

业务安全产品：免费试用

业务安全交流群：加入畅聊