近日,頂象釋出《車企App安全研究白皮書》。該白皮書總結了目前車企App主要面臨的技術威脅和合規風險,詳細分析了風險産生的原因,并提出相應安全解決方案。
頂象,贊1
車企App成汽車品牌首選
自有App成為各品牌汽車的标配,也成為車企必争的新戰場。車企App不僅能夠實作遠端開啟空調、門鎖、啟動車輛等功能,還提供購車、購買配件、維修、保養等基礎服務,更承載着優化車主用車體驗、建構品牌私域流量池的新任務,成為車企與使用者關系營運的重要管道。
車企App最核心的功能可以概括為服務、社群、商城三個部分。服務是使用者使用App的 基礎需求;商城通過積分兌換提升使用者粘性,通過商品售賣進行獲利;社群則承擔了增強使用者粘性,提高使用者活躍的重要功能。随着“以使用者為中心”的市場戰略和營運政策也在加快落地,車機互聯、車友社群、購物娛樂等功能不斷完善,車企App使用者規模實作快速增長。
除了以上服務,對車輛軟硬體的操控,如解鎖車門、升降車窗、遠端啟動、檢視車輛行駛軌迹或目前位置等最“原始”的功能。
車企App面臨兩類風險
随着車企App成為汽車互動的主要入口之一,隐私、安全問題更是頻頻爆出。一輛智能網聯汽車每天會産生大約10TB的資料,駕乘人員的出行軌迹、駕乘習慣、車内語音圖像等個人資訊都面臨着被洩露的風險。攻擊者可以通過網絡漏洞攻擊劫持或控制車輛行駛,實施關閉引擎、突然制動、開關車門等操控。資料顯示,2020年全球針對智能網聯汽車的攻擊達到280餘萬次。
總體來說,車企App面臨技術與合規兩重風險。
技術威脅主要是包含ROOT、模拟器攻擊、驗證碼爆破風險、系統API Hook、代理環境、反編譯、二次打包、通信、密碼爆破、so檔案、簽名校驗、動态調試、程序注入、資料明文儲存、Logcat日志、任意檔案上傳、SQL注入、XSS漏洞等風險。
合規風險主要是監管部門對APP的審查。據2019年到2023年《關于侵害使用者權益行為的App》通報顯示,共有2142款App/SDK遭到處罰。這些App主要存在違規收集、使用使用者個人資訊、不合理索取使用者權限、為使用者賬号登出設定障礙等問題,嚴重侵犯了使用者的隐私和合法權益,監管部門按照《網絡安全法》、《個人資訊保護法》等法律法規,對違法違規的App通報批評,甚至被下架處罰。
車企App遭遇威脅攻擊的三個原因
知名汽車網絡安全公司UpstreamSecurity釋出的2020年《汽車網絡安全報告》顯示,自2016年至2020年1月份,汽車網絡安全事件增長了605%,僅2019年一年就增長1倍以上。按照目前的發展趨勢,随着汽車聯網率的不斷提升,預計未來此類安全問題将更加突出。
第一、從封閉到聯網的變化。
随着汽車産業向智能化、網聯化、共享化、電動化為特征的“新四化”方向狂飙邁進,汽車不再隻是孤立的交通工具,而是成為融入互聯互通體系的資訊終端,車與車、終端應用、路邊基礎設施以及雲端之間的聯通也随之大大增強,由此導緻更多的資訊安全接入點和風險點被暴露出來。業務、資料、使用者資訊、營運過程等均處于邊界模糊且日益開放的環境中,存在各類風險。
第二、層出不窮的新漏洞。
一輛智能汽車的車載智能裝置數量不小于100台,所有程式代碼不小于5000萬行,是以整個智能駕駛代碼将達2億多行。代碼數量越是龐大,軟體越是複雜,那麼其中包含的漏洞就越多,由此被攻擊的機率也就越高。按照目前汽車平均擁有一億行代碼來計算,每輛智能汽車就可能存在10萬個缺陷或漏洞。而這些缺陷以及漏洞會造成什麼樣的風險,沒有人可以預測。
漏洞是威脅的爆發源頭,無論是病毒攻擊還是黑客入侵大多是基于漏洞,業務、軟體、系統、裝置都要漏洞,隻是有的被發現有的沒被發現。軟體漏洞、接口漏洞、管理漏洞等等。
第三、攻擊者愈加專業。
攻擊者呈現專業化、産業化、組織化的形态,他們熟悉業務流程以及防護邏輯,能夠熟練運用自動化、智能化的新興技術,不斷開發和優化各類攻擊工具,不斷發起各類攻擊。
2021年機械工業出版社出版的《攻守道-企業數字業務安全風險與防範》一書和中國信通院2022年釋出的《業務安全白皮書》中有詳細地分析:
網絡黑灰産彼此分工明确、合作緊密、協同作案,每一環節都有不同的牟利和運作方式,形成一條完整的産業鍊。以大規模牟利為目的網絡黑灰産,熟悉業務流程以及防護邏輯,能夠熟練運用自動化、智能化的新興技術,不斷開發和優化各類攻擊工具,不斷發起各類欺詐攻擊。
相關資料顯示,目前網絡黑灰産從業人員近200萬之衆,每年造成的損失達數千億元。
車企App安全解決思路
安全加強。針對App普遍存在的破解、篡改、盜版、調試、資料竊取等各類安全風險提供的有效的安全防護手段,其核心加強技術主要包含防逆向、防篡改、防調試及防竊取這四大方面,不僅保護了App自身安全,同時對App的運作環境及業務場景提供了保護。
安全檢測。通過自動化檢測和人工滲透測試法對App進行全面檢測,并挖掘出系統源碼中可能存在的安全風險、漏洞等問題,幫助開發者了解并提高其應用開發程式的安全性,有效預防可能存在的安全風險。
《車企App安全研究白皮書》還詳細介紹适用于車企App的安全産品,并着重介紹了多個車企App的安全實踐案例,詳細可以點選“閱讀原文”免費下載下傳。