环球快讯:顶【dǐng】象发布《车企App安全研究【jiū】白皮【pí】书》，剖析品牌汽车App的【de】两大类风险【xiǎn】

近日，顶象发【fā】布《车企App安【ān】全研究白皮书【shū】》。该白皮书总结了【le】当前车企App主要面临【lín】的【de】技术威【wēi】胁和合规【guī】风险，详细【xì】分析了风险产生的原因【yīn】，并提出相【xiàng】应安全解决方案。

车企App成汽车品牌首选

自有App成为【wéi】各品牌汽车【chē】的标配，也成【chéng】为车企【qǐ】必争的新战场。车企App不【bú】仅能够实现【xiàn】远程开启空调、门锁、启动车辆等功能，还提供购车、购买配件【jiàn】、维修、保养等基础服务，更承载着【zhe】优化车【chē】主用车体【tǐ】验、构建【jiàn】品牌私域流量【liàng】池的新任务，成为车企与用户关系运【yùn】营【yíng】的【de】重要渠道。车企【qǐ】App最核心【xīn】的功【gōng】能可以概括为服务、社区、商城【chéng】三个部分。服【fú】务是用【yòng】户使用【yòng】App的 基础需求；商城通过积分兑换提升用户粘性，通【tōng】过【guò】商品售卖进【jìn】行获利；社区则承担了增强用户粘性【xìng】，提【tí】高用户活跃的重要功能【néng】。随着【zhe】“以用【yòng】户为中【zhōng】心【xīn】”的【de】市【shì】场战略和运营策略也【yě】在加快【kuài】落地，车机互【hù】联、车友社区、购物娱乐【lè】等功能不【bú】断【duàn】完【wán】善，车企App用户规模实现【xiàn】快速增长。除了【le】以【yǐ】上服务，对车辆软硬件的【de】操控，如解【jiě】锁车门、升降【jiàng】车【chē】窗、远程启动、查看车辆行【háng】驶轨迹或当前位置等最【zuì】“原始”的功能。

车企App面临两类风险

随着车企App成为汽【qì】车交互的【de】主要入口之【zhī】一，隐私、安全【quán】问题更是频【pín】频爆出。一辆智能网联汽车【chē】每天会产生大【dà】约【yuē】10TB的【de】数【shù】据，驾【jià】乘人员【yuán】的出行轨迹【jì】、驾乘【chéng】习【xí】惯【guàn】、车内语【yǔ】音【yīn】图像等个人信息都面【miàn】临着被泄露的风险。攻击者【zhě】可以通【tōng】过网络漏洞攻击劫持【chí】或控制车辆【liàng】行【háng】驶，实施【shī】关闭引擎、突然制动、开【kāi】关车门等操控。数据显示，2020年全球针对智能【néng】网【wǎng】联【lián】汽【qì】车的攻击达到280余万次。总体来说，车企App面临技术与合规两【liǎng】重风险【xiǎn】。技术【shù】威胁主要是包含ROOT、模拟器攻击、验证码爆破风险、系统【tǒng】API Hook、代【dài】理环境、反编译、二【èr】次打包、通信、密码【mǎ】爆破、so文件、签【qiān】名校验、动态调试、进程【chéng】注入、数据明【míng】文储存、Logcat日志、任【rèn】意文件上传【chuán】、SQL注入、XSS漏洞等【děng】风险。合规风【fēng】险主要是【shì】监管部门【mén】对APP的【de】审查。据【jù】2019年到2023年《关于侵【qīn】害用户权益行为的App》通报显示，共有2142款【kuǎn】App/SDK遭【zāo】到处罚。这些App主要存在违规收集、使用用户个人信息、不【bú】合理索【suǒ】取用户权限、为用户账号注销【xiāo】设【shè】置【zhì】障碍等问题，严重侵犯了用户的隐私和【hé】合法权益，监管【guǎn】部门按照《网络【luò】安全【quán】法》、《个人信息保护法》等【děng】法律法规，对【duì】违法违【wéi】规的App通【tōng】报【bào】批评，甚【shèn】至被下架处罚。

(资料图片)

车企App遭遇威胁攻击的三个原因

知【zhī】名汽车网络安全公【gōng】司UpstreamSecurity发布的2020年【nián】《汽车网络安全报告》显示【shì】，自2016年至2020年【nián】1月份，汽车网络安全事件增长了【le】605%，仅2019年一年就增长1倍以【yǐ】上。按照目【mù】前【qián】的发【fā】展趋势【shì】，随着汽车联【lián】网率【lǜ】的不【bú】断提升，预计未来【lái】此类安全问题将更加【jiā】突出。

第一、从封闭到联网的变化。

随着汽车产业向【xiàng】智能化、网联化、共享化、电动化为【wéi】特【tè】征的“新四化”方向狂飙迈进，汽车不再只是孤立的交通工【gōng】具，而是成为融入互联互通体系的信息终端，车与【yǔ】车、终端应用、路【lù】边基础【chǔ】设施以及云【yún】端【duān】之间的联通也【yě】随【suí】之大大增强【qiáng】，由此导致更【gèng】多的信【xìn】息安【ān】全接入点和风险点被暴露出来。业务【wù】、数据【jù】、用户信息【xī】、运营过程等【děng】均处于【yú】边界模糊且日益开放【fàng】的环境中，存在各类【lèi】风险【xiǎn】。

第二、层出不穷的新漏洞。

一辆【liàng】智能【néng】汽车的车载智能【néng】设备数量不小【xiǎo】于100台，所【suǒ】有程序代【dài】码不小于5000万行，因此【cǐ】整个智能驾驶代码将达2亿多行。代码【mǎ】数量越是庞大，软件越是复杂，那么其中【zhōng】包【bāo】含的漏洞【dòng】就越多，由此被攻击的概【gài】率也就【jiù】越【yuè】高。按照目前汽车平均【jun1】拥有一亿行代码来【lái】计算，每辆智能【néng】汽【qì】车【chē】就可能存在10万个缺陷或漏洞。而这些缺陷以【yǐ】及【jí】漏洞会造成什么样的风险，没有人可【kě】以预【yù】测。漏洞是威胁的爆发【fā】源头，无论是病毒攻击还【hái】是黑客入侵大多是基【jī】于漏洞【dòng】，业【yè】务、软件、系统、设备都【dōu】要漏洞，只是【shì】有的被发现有【yǒu】的没被【bèi】发【fā】现【xiàn】。软件漏洞、接【jiē】口【kǒu】漏洞【dòng】、管【guǎn】理漏洞等【děng】等。

第三、攻击者愈加专业。

攻击【jī】者呈【chéng】现专业化、产业化、组织化的形态，他【tā】们熟悉业务流程以及防护逻辑，能【néng】够熟练运【yùn】用自动化【huà】、智能化的新兴技术，不断开【kāi】发和优化【huà】各类攻击工具，不【bú】断发【fā】起各类攻【gōng】击。2021年机械工【gōng】业【yè】出版社【shè】出版的《攻【gōng】守道-企【qǐ】业数字【zì】业务安全风险【xiǎn】与【yǔ】防范》一书和中国信通院2022年【nián】发布的【de】《业务安全白皮【pí】书》中有详【xiáng】细【xì】地分析：

网络黑灰产彼此分工明【míng】确、合作紧密、协同作案，每【měi】一环节【jiē】都有不【bú】同的牟利和运作方式【shì】，形成一条完【wán】整的【de】产业【yè】链。以大规【guī】模【mó】牟利为目的网【wǎng】络【luò】黑灰【huī】产，熟【shú】悉业务流程以及防护逻辑，能够熟练运用自动化、智【zhì】能化的新兴【xìng】技术，不断开发【fā】和优化各类攻【gōng】击工具，不断发起【qǐ】各类【lèi】欺诈【zhà】攻击。

相【xiàng】关数据显示，目前【qián】网络黑灰产从业人员近200万之众【zhòng】，每年【nián】造成的【de】损失【shī】达【dá】数千亿元。

车企App安全解决思路

安全加固。针对App普遍存在的破解【jiě】、篡改、盗版、调试、数据窃取等各类安全【quán】风险提供的有效的安【ān】全防【fáng】护手段，其核心加固技术【shù】主【zhǔ】要【yào】包含防【fáng】逆【nì】向、防篡改、防调【diào】试【shì】及防窃取这四大方面，不仅【jǐn】保护了App自身安【ān】全【quán】，同时对App的运【yùn】行环境及业务场景提【tí】供了保护【hù】。安全检测。通过自动化检测和人工渗透测试法【fǎ】对App进【jìn】行全面检测，并【bìng】挖掘出系统源码【mǎ】中可能存在的【de】安全风险、漏洞【dòng】等问题，帮【bāng】助【zhù】开【kāi】发者【zhě】了解并提高其应用开发程序的【de】安全性【xìng】，有效预【yù】防可能存在的安全风险。《车企【qǐ】App安全研究白皮书》还详细介绍适用于车企【qǐ】App的【de】安全产品【pǐn】，并着重【chóng】介绍了【le】多个车企App的安【ān】全【quán】实践案例，详细【xì】可以【yǐ】前往“顶象”官【guān】网免费下载。

业务安全大讲堂免费直播：立即报名

业务安全产品：免费试用

业务安全交流群：加入畅聊