頂象發布《車企App安全研究白皮書》，剖析品牌汽車App的兩大類風險-有解無憂

近日，頂象發布《車企App安全研究白皮書》，該白皮書總結了當前車企App主要面臨的技術威脅和合規風險，詳細分析了風險產生的原因，并提出相應安全解決方案，

車企App成汽車品牌首選

自有App成為各品牌汽車的標配，也成為車企必爭的新戰場，車企App不僅能夠實作遠程開啟空調、門鎖、啟動車輛等功能，還提供購車、購買配件、維修、保養等基礎服務，更承載著優化車主用車體驗、構建品牌私域流量池的新任務，成為車企與用戶關系運營的重要渠道，

車企App最核心的功能可以概括為服務、社區、商城三個部分，服務是用戶使用App的基礎需求；商城通過積分兌換提升用戶粘性，通過商品售賣進行獲利；社區則承擔了增強用戶粘性，提高用戶活躍的重要功能，隨著“以用戶為中心”的市場戰略和運營策略也在加快落地，車機互聯、車友社區、購物娛樂等功能不斷完善，車企App用戶規模實作快速增長，
除了以上服務，對車輛軟硬體的操控，如解鎖車門、升降車窗、遠程啟動、查看車輛行駛軌跡或當前位置等最“原始”的功能，

車企App面臨兩類風險

隨著車企App成為汽車互動的主要入口之一，隱私、安全問題更是頻頻爆出，一輛智能網聯汽車每天會產生大約10TB的資料，駕乘人員的出行軌跡、駕乘習慣、車內語音影像等個人資訊都面臨著被泄露的風險，攻擊者可以通過網路漏洞攻擊劫持或控制車輛行駛，實施關閉引擎、突然制動、開關車門等操控，資料顯示，2020年全球針對智能網聯汽車的攻擊達到280余萬次，
總體來說，車企App面臨技術與合規兩重風險，
技術威脅主要是包含ROOT、模擬器攻擊、驗證碼爆破風險、系統API Hook、代理環境、反編譯、二次打包、通信、密碼爆破、so檔案、簽名校驗、動態除錯、行程注入、資料明文儲存、Logcat日志、任意檔案上傳、SQL注入、XSS漏洞等風險，
合規風險主要是監管部門對APP的審查，據2019年到2023年《關于侵害用戶權益行為的App》通報顯示，共有2142款App/SDK遭到處罰，這些App主要存在違規收集、使用用戶個人資訊、不合理索取用戶權限、為用戶賬號注銷設定障礙等問題，嚴重侵犯了用戶的隱私和合法權益，監管部門按照《網路安全法》、《個人資訊保護法》等法律法規，對違法違規的App通報批評，甚至被下架處罰，

車企App遭遇威脅攻擊的三個原因

知名汽車網路安全公司UpstreamSecurity發布的2020年《汽車網路安全報告》顯示，自2016年至2020年1月份，汽車網路安全事件增長了605%，僅2019年一年就增長1倍以上，按照目前的發展趨勢，隨著汽車聯網率的不斷提升，預計未來此類安全問題將更加突出，

第一、從封閉到聯網的變化，

隨著汽車產業向智能化、網聯化、共享化、電動化為特征的“新四化”方向狂飆邁進，汽車不再只是孤立的交通工具，而是成為融入互聯互通體系的資訊終端，車與車、終端應用、路邊基礎設施以及云端之間的聯通也隨之大大增強，由此導致更多的資訊安全接入點和風險點被暴露出來，業務、資料、用戶資訊、運營程序等均處于邊界模糊且日益開放的環境中，存在各類風險，

第二、層出不窮的新漏洞，

一輛智能汽車的車載智能設備數量不小于100臺，所有程式代碼不小于5000萬行，因此整個智能駕駛代碼將達2億多行，代碼數量越是龐大，軟體越是復雜，那么其中包含的漏洞就越多，由此被攻擊的概率也就越高，按照目前汽車平均擁有一億行代碼來計算，每輛智能汽車就可能存在10萬個缺陷或漏洞，而這些缺陷以及漏洞會造成什么樣的風險，沒有人可以預測，漏洞是威脅的爆發源頭，無論是病毒攻擊還是黑客入侵大多是基于漏洞，業務、軟體、系統、設備都要漏洞，只是有的被發現有的沒被發現，軟體漏洞、介面漏洞、管理漏洞等等，

第三、攻擊者愈加專業，

攻擊者呈現專業化、產業化、組織化的形態，他們熟悉業務流程以及防護邏輯，能夠熟練運用自動化、智能化的新興技術，不斷開發和優化各類攻擊工具，不斷發起各類攻擊，
2021年機械工業出版社出版的《攻守道-企業數字業務安全風險與防范》一書和中國信通院2022年發布的《業務安全白皮書》中有詳細地分析：

網路黑灰產彼此分工明確、合作緊密、協同作案，每一環節都有不同的牟利和運作方式，形成一條完整的產業鏈，以大規模牟利為目的網路黑灰產，熟悉業務流程以及防護邏輯，能夠熟練運用自動化、智能化的新興技術，不斷開發和優化各類攻擊工具，不斷發起各類欺詐攻擊，

相關資料顯示，目前網路黑灰產從業人員近200萬之眾，每年造成的損失達數千億元，

車企App安全解決思路

安全加固，針對App普遍存在的破解、篡改、盜版、除錯、資料竊取等各類安全風險提供的有效的安全防護手段，其核心加固技術主要包含防逆向、防篡改、防除錯及防竊取這四大方面，不僅保護了App自身安全，同時對App的運行環境及業務場景提供了保護，
安全檢測，通過自動化檢測和人工滲透測驗法對App進行全面檢測，并挖掘出系統原始碼中可能存在的安全風險、漏洞等問題，幫助開發者了解并提高其應用開發程式的安全性，有效預防可能存在的安全風險，
《車企App安全研究白皮書》還詳細介紹適用于車企App的安全產品，并著重介紹了多個車企App的安全實踐案例，詳細可以前往“頂象”官網免費下載，

業務安全大講堂免費直播：立即報名

業務安全產品：免費試用

業務安全交流群：加入暢聊

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/554552.html

標籤：其他

上一篇：健康食物功效大全ACCESS資料庫

下一篇：返回列表