近日,頂象發布《車企App安全研究白皮書》,該白皮書總結了目前汽車公司App所面臨的主要技術威脅和合規風險,詳細分析了這些風險產生的原因,并提供了相應的安全解決方案,
現在,自有App已成為各汽車品牌的標配,這些汽車廠商的App不僅可以幫助用戶實作遠程開啟空調、門鎖、啟動車輛等常用功能,還提供購車、購買配件、維修、保養等基本服務,此外,它們還肩負著優化車主用車體驗、構建品牌私域流量池等新任務,成為汽車企業與用戶關系運營的重要渠道,
隨著車企App成為汽車互動的主要入口之一,隱私和安全問題的出現也日益頻繁,具體而言,車企App面臨著技術和合規兩種風險,
車企App普遍面臨的攻擊風險
技術風險
主要是包含Root、模擬器攻擊、驗證碼爆破風險、系統API Hook、代理環境、反編譯、二次打包、通信、密碼爆破、so檔案、簽名校驗、動態除錯、行程注入、資料明文儲存、Logcat日志、任意檔案上傳、SQL注入、XSS漏洞等風險:
Root風險,Root代表絕大部分移動設備的使用者能夠掌握到的最高權限,使用戶擁有了修改系統檔案的權限,甚至可以控制賬戶、增加或洗掉硬體等,在Root環境下,App可以隨意訪問任意應用儲存的任何資料,造成資料泄露、資料非法篡改等風險,
模擬器風險,模擬器是一種“仿真”程式,可以在電腦安模擬出一個獨立的手機環境,最初是用于開發程序中除錯、測驗、模擬運行等,模擬器可以讓攻擊者監控應用關鍵函式、獲取應用敏感資料、破解應用的目的,也可以采用多開方式手動操作或是結合模擬點擊,成為黑灰產牟利的工具,
驗證碼爆破風險,用戶使用手機號+驗證碼的方式進行登錄時,短信驗證碼大部分情況下是由4~6位數字組成,如果沒有對驗證碼的失效時間和嘗試失敗的次數做限制,攻擊者就可以通過嘗試這個區間內的所有數字來進行暴力破解攻擊,同時,如果沒有對驗證碼的發送次數進行限制,可以對同一手機號或者不同手機號無限次發送,存在惡意呼叫介面發送短信的風險,造成短信發送平臺花費大量的短信費用,且易造成騷擾短信,影響用戶的正常使用,
Hook風險,Hook技術是一門廣泛用于計算機攻防對抗的技術,可以監視系統或者行程中的各種事件訊息,截獲發往目標視窗的訊息進行處理,攻擊者利用hook手段對APP進行脫殼、記憶體截取/修改等操作,
代理環境風險,App應用運行在代理環境下,通信程序能被中間人截獲,造成用戶請求偽造、重放攻擊、敏感資訊泄露等威脅,
反編譯風險,反編譯就是逆程序,高級語言源程式經過編譯變成可執行檔案,反編譯出的App代碼未做任何保護,資訊資料、功能流程等都被暴露,攻擊者能夠完整地分析 App 的運行邏輯,尤其是相關業務介面協議、和通信加密的實作,給業務帶來極大的風險,
二次打包風險,使用apktool對App進行解包,添加自定義的代碼,回編譯后,將APP重新安裝到手機中可以正常運行,App被輕易的二次打包,很容易被攻擊者添加惡意的代碼或者添加廣告,從而竊取登錄賬號密碼、支付密碼等,嚴重威脅用戶隱私安全,也給公司的形象帶來不利的影響,
通信風險,App與服務器進行互動時,使用不安全的HTTP協議,或關鍵資料明文傳輸,或互相不驗證證書,攻擊能夠竊聽、篡改、統信資料甚至篡改,進而影響資料的安全性,或者發動中間人攻擊,
密碼爆破風險,App上的用戶賬號,如果密碼簡單存在被暴力破解風險;如果如果沒有對登錄錯誤次數、請求時間進行校驗,同時密碼等敏感資料未進行加密處理,則可遭遇暴力破解的風險,
so檔案風險,so檔案是Linux下的程式函式庫,即編譯好的可以供其他程式使用的代碼和資料,攻擊者可以通過工具進行破解,使用除錯工具對其動態除錯,分析代碼中的業務邏輯以及加密演算法,
簽名校驗風險,App簽名機制是對APK包完整性和發布機構唯一性的一種校驗機制,需要對APK進行簽名后才能后進行安裝,大部分的安卓APP沒有對正盜版進行校驗,重新簽名后的App在手機中安裝后可以正常運行,車企App面臨被攻擊者二次打包、惡意篡改、山寨的風險,
動態除錯風險,移動應用在運行的程序中,攻擊者通常會使用除錯器對程式進行動態除錯,如果移動應用未做防動態除錯保護,則程式運行程序中,攻擊者可以通過動態除錯技術,利用gdb/ida等除錯工具對程式進行記憶體除錯跟蹤,可以竊取目標行程的資料資訊,從而獲取用戶的隱私資料資訊,
行程注入風險,如果程式本身對運行時的記憶體沒有做任何的保護措施,攻擊者通過反編譯對源代碼進行分析,定位到可以程式外 Hook 類似操作的關鍵位置,完全不需要修改程式本身,當程式運行到敏感的界面 Activity 時,從程式外獲取用戶輸入的證件號、姓名、手機號和密碼等敏感的資訊,并從記憶體中進行修改,尤其是對于涉及到支付等操作時,將嚴重威脅用戶的財產安全,
資料明文儲存風險,車輛VIN、安全碼、車輛所有者等敏感資訊如果直接明文存盤在資料庫或其他存盤介質中,而不加任何加密或哈希處理,攻擊者可以使用這些token來獲取授權或模擬用戶身份進行惡意操作,
Logcat日志風險,App在運行的程序中,如果日志的輸出沒有做好等級控制,查看日志時,用戶名、密碼等敏感資訊可能被泄露,
任意檔案上傳風險,很多App具有檔案上傳功能,如果服務器對用戶檔案上傳部分的控制不足或者處理缺陷,導致用戶可以越過其本身權限向服務器上傳可執行的惡意腳本檔案,從而控制服務器,造成重要資料的丟失,
SQL注入風險,如果App在撰寫時沒有對用戶提交至服務器的資料的合法性進行校驗,可以將SQL命令插入到Web表單進行提交,從而達到欺騙服務器執行惡意SQL命令的目的,實作對資料的任意讀寫,造成核心機密資料被竊取和篡改的安全風險,
XSS漏洞風險,在使用投訴、建議等功能時,如果在App撰寫時沒有對用戶輸入資料的合法性以及在將資料輸出到網頁時資料的合法性進行校驗,攻擊者可以向Web頁面里面插入惡意JavaScript、HTML代碼,并且將構造的惡意資料顯示在頁面,從而泄露客戶端的cookie或者其他敏感資訊,
合規風險
合規風險主要是監管部門對App的審查,多個車企App存在違規收集、使用用戶個人資訊、不合理索取用戶權限、為用戶賬號注銷設定障礙等問題,嚴重侵犯了用戶的隱私和合法權益,監管部門按照《網路安全法》、《個人資訊保護法》等法律法規,對違法違規的App通報批評,甚至被下架等處罰,
《白皮書》提供兩大安全解決方案
針對這兩種風險,《車企App安全研究白皮書》提供了兩種解決方案:App加固和App隱私合規檢測,
App加固
頂象App加固基于虛機原始碼保護技術,良好兼容Java、Kotlin、C/C++等多種語言,可以保護Android的DEX、配置、SO等16種資料和檔案安全,可有效偵測對抗動態除錯、代碼注入、記憶體dump、root環境、多開環境、模擬器、重打包等風險,
頂象App加固提供了一套完整的工具鏈,首先把App代碼編譯成中間的二進制檔案,隨后生成獨特的虛機原始碼保護執行環境以及只能在該環境下執行的運行程式,也就是虛機原始碼保護會在App內部隔離出獨立的執行環境,該核心代碼的運行程式在此獨立的執行環境里運行,即便App本身被破解,這部分代碼仍然不可見,
頂象App加固通過技術和管理手段來增強實際系統的安全防護能力),可以通過自身的探針感知到環境的變化,實時探測到外界對本環境的除錯、注入等非正常執行流程變化,將除錯動作引入程式陷阱,并發出警報,進而進行實時更新,進一步提高安全強度,此外,頂象App加固率先支持對iOS免原始碼加固,提供代碼混淆、字串混淆、符號混淆、指令虛化、防除錯、反編譯、防Class dump的保護,并支持Bitcode輸出,
在準備階段,虛機原始碼保護為用戶提供一套完整的工具鏈,首先把用戶待保護的核心代碼編譯成中間的二進制檔案,隨后生成獨特的虛機原始碼保護執行環境和只能在該環境下執行的運行程式,
在App運行階段,虛機原始碼保護會在App內部隔離出獨立的執行環境,該核心代碼的運行程式在此獨立的執行環境里運行,
生成的虛機原始碼保護擁有獨特的可變指令集,極大的提高了指令跟蹤、逆向分析的難度,同時,虛機原始碼保護還提供了反除錯能力和監控能力,虛機原始碼保護可以通過自身的探針感知到環境的變化,實時探測到外界對本環境的除錯、注入等非正常執行流程變化,將除錯動作引入程式陷阱,并發出警報,進而進行實時更新,提高安全強度,
App隱私合規檢測
App隱私合規檢測服務基于頂象內部積累多年的App隱私合規檢測能力,幫助開發者發現App可能存在的各類隱私安全漏洞,提供詳細的檢測報告,并給出專業的合規整改建議,同時,頂象專業的隱私安全專家團隊,還為開發者提供一對一專家咨詢服務,幫助開發者高效檢測,快速識別App潛在的隱私風險,構建安全可信的高質量App,
頂象應用隱私合規檢測服務可以應用于上架前和合規檢測,
上架前隱私檢測,在各個移動應用市場在應用上架前,對App進行隱私檢測,確保安全合規、發現存在的風險,
應用合規檢測,基于多個監管檔案,進行App日常合規檢測、整改、二次檢測和抽檢等,防止對客戶資訊過度收集,
頂象應用隱私合規檢測服務提供個人資訊保護現狀,威脅定位分析和可視化結果報告,
個人資訊保護分析,從隱私政策文本、App收集使用個人資訊行為、企業對用戶權利的保障等三個方面,快速評估App針對個人資訊保護的現狀,
威脅分析定位,依據監管、行業、企業,對App收集的資料資訊進行分析,通過AI沙箱檢測+專家審查的方式,結合行業沉淀經驗,建模定位,全方位保證分析結果的準確性,
可視化報告,通過全方位的隱私合規評估后,提供業務場景、檢測專案、檢測手段、檢測結果以及問題展示,
問題整改跟進,對于檢測的問題提供專家指導意見,提供解決方案,
《車企App安全研究白皮書》還詳細介紹適用于車企App的安全產品,并著重介紹了多個車企App的安全實踐案例,詳細可以前往“頂象”官網免費下載,
業務安全大講堂免費直播:立即報名
業務安全產品:免費試用
業務安全交流群:加入暢聊
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/554967.html
標籤:其他
下一篇:返回列表