近日���,頂象發(fā)布《車企App安全研究白皮書》��。該白皮書總結了當前車企App主要面臨的技術威脅和合規(guī)風險��,詳細分析了風險產(chǎn)生的原因��,并提出相應安全解決方案��。
車企App成汽車品牌首選
自有App成為各品牌汽車的標配���,也成為車企必爭的新戰(zhàn)場�����。車企App不僅能夠?qū)崿F(xiàn)遠程開啟空調(diào)�、門鎖�����、啟動車輛等功能�����,還提供購車���、購買配件�����、維修��、保養(yǎng)等基礎服務����,更承載著優(yōu)化車主用車體驗、構建品牌私域流量池的新任務��,成為車企與用戶關系運營的重要渠道�。車企App最核心的功能可以概括為服務����、社區(qū)、商城三個部分�。服務是用戶使用App的 基礎需求;商城通過積分兌換提升用戶粘性�,通過商品售賣進行獲利;社區(qū)則承擔了增強用戶粘性���,提高用戶活躍的重要功能�����。隨著“以用戶為中心”的市場戰(zhàn)略和運營策略也在加快落地�,車機互聯(lián)��、車友社區(qū)�、購物娛樂等功能不斷完善,車企App用戶規(guī)模實現(xiàn)快速增長。除了以上服務���,對車輛軟硬件的操控����,如解鎖車門�����、升降車窗����、遠程啟動、查看車輛行駛軌跡或當前位置等最“原始”的功能�。
車企App面臨兩類風險
隨著車企App成為汽車交互的主要入口之一,隱私����、安全問題更是頻頻爆出。一輛智能網(wǎng)聯(lián)汽車每天會產(chǎn)生大約10TB的數(shù)據(jù)��,駕乘人員的出行軌跡����、駕乘習慣��、車內(nèi)語音圖像等個人信息都面臨著被泄露的風險�。攻擊者可以通過網(wǎng)絡漏洞攻擊劫持或控制車輛行駛�����,實施關閉引擎�、突然制動、開關車門等操控����。數(shù)據(jù)顯示�,2020年全球針對智能網(wǎng)聯(lián)汽車的攻擊達到280余萬次?��?傮w來說�����,車企App面臨技術與合規(guī)兩重風險�����。技術威脅主要是包含ROOT���、模擬器攻擊��、驗證碼爆破風險��、系統(tǒng)API Hook���、代理環(huán)境、反編譯����、二次打包、通信�、密碼爆破、so文件�、簽名校驗、動態(tài)調(diào)試��、進程注入����、數(shù)據(jù)明文儲存、Logcat日志�����、任意文件上傳、SQL注入�、XSS漏洞等風險。合規(guī)風險主要是監(jiān)管部門對APP的審查�。據(jù)2019年到2023年《關于侵害用戶權益行為的App》通報顯示,共有2142款App/SDK遭到處罰��。這些App主要存在違規(guī)收集�����、使用用戶個人信息�����、不合理索取用戶權限����、為用戶賬號注銷設置障礙等問題�����,嚴重侵犯了用戶的隱私和合法權益�����,監(jiān)管部門按照《網(wǎng)絡安全法》、《個人信息保護法》等法律法規(guī)�,對違法違規(guī)的App通報批評,甚至被下架處罰����。
【資料圖】
車企App遭遇威脅攻擊的三個原因
知名汽車網(wǎng)絡安全公司UpstreamSecurity發(fā)布的2020年《汽車網(wǎng)絡安全報告》顯示,自2016年至2020年1月份���,汽車網(wǎng)絡安全事件增長了605%��,僅2019年一年就增長1倍以上���。按照目前的發(fā)展趨勢,隨著汽車聯(lián)網(wǎng)率的不斷提升����,預計未來此類安全問題將更加突出。
第一�����、從封閉到聯(lián)網(wǎng)的變化�。
隨著汽車產(chǎn)業(yè)向智能化、網(wǎng)聯(lián)化����、共享化����、電動化為特征的“新四化”方向狂飆邁進�,汽車不再只是孤立的交通工具,而是成為融入互聯(lián)互通體系的信息終端�����,車與車��、終端應用�����、路邊基礎設施以及云端之間的聯(lián)通也隨之大大增強�����,由此導致更多的信息安全接入點和風險點被暴露出來�����。業(yè)務�、數(shù)據(jù)、用戶信息����、運營過程等均處于邊界模糊且日益開放的環(huán)境中,存在各類風險����。
第二、層出不窮的新漏洞��。
一輛智能汽車的車載智能設備數(shù)量不小于100臺�,所有程序代碼不小于5000萬行,因此整個智能駕駛代碼將達2億多行�����。代碼數(shù)量越是龐大����,軟件越是復雜,那么其中包含的漏洞就越多����,由此被攻擊的概率也就越高。按照目前汽車平均擁有一億行代碼來計算,每輛智能汽車就可能存在10萬個缺陷或漏洞���。而這些缺陷以及漏洞會造成什么樣的風險��,沒有人可以預測��。漏洞是威脅的爆發(fā)源頭��,無論是病毒攻擊還是黑客入侵大多是基于漏洞���,業(yè)務、軟件����、系統(tǒng)、設備都要漏洞����,只是有的被發(fā)現(xiàn)有的沒被發(fā)現(xiàn)。軟件漏洞���、接口漏洞��、管理漏洞等等。
第三��、攻擊者愈加專業(yè)。
攻擊者呈現(xiàn)專業(yè)化�����、產(chǎn)業(yè)化��、組織化的形態(tài)�,他們熟悉業(yè)務流程以及防護邏輯,能夠熟練運用自動化�����、智能化的新興技術���,不斷開發(fā)和優(yōu)化各類攻擊工具�,不斷發(fā)起各類攻擊����。2021年機械工業(yè)出版社出版的《攻守道-企業(yè)數(shù)字業(yè)務安全風險與防范》一書和中國信通院2022年發(fā)布的《業(yè)務安全白皮書》中有詳細地分析:
網(wǎng)絡黑灰產(chǎn)彼此分工明確、合作緊密�、協(xié)同作案,每一環(huán)節(jié)都有不同的牟利和運作方式�,形成一條完整的產(chǎn)業(yè)鏈。以大規(guī)模牟利為目的網(wǎng)絡黑灰產(chǎn),熟悉業(yè)務流程以及防護邏輯���,能夠熟練運用自動化����、智能化的新興技術�����,不斷開發(fā)和優(yōu)化各類攻擊工具�,不斷發(fā)起各類欺詐攻擊。
相關數(shù)據(jù)顯示�����,目前網(wǎng)絡黑灰產(chǎn)從業(yè)人員近200萬之眾����,每年造成的損失達數(shù)千億元。
車企App安全解決思路
安全加固��。針對App普遍存在的破解�����、篡改、盜版����、調(diào)試�����、數(shù)據(jù)竊取等各類安全風險提供的有效的安全防護手段�����,其核心加固技術主要包含防逆向���、防篡改��、防調(diào)試及防竊取這四大方面���,不僅保護了App自身安全,同時對App的運行環(huán)境及業(yè)務場景提供了保護�����。安全檢測��。通過自動化檢測和人工滲透測試法對App進行全面檢測,并挖掘出系統(tǒng)源碼中可能存在的安全風險���、漏洞等問題����,幫助開發(fā)者了解并提高其應用開發(fā)程序的安全性�,有效預防可能存在的安全風險?�!盾嚻驛pp安全研究白皮書》還詳細介紹適用于車企App的安全產(chǎn)品����,并著重介紹了多個車企App的安全實踐案例,詳細可以前往“頂象”官網(wǎng)免費下載��。
業(yè)務安全大講堂免費直播:立即報名
業(yè)務安全產(chǎn)品:免費試用
業(yè)務安全交流群:加入暢聊
關鍵詞:
上一篇:第12屆金交會將于6月9日在穗舉行��,這些焦點值得關注
下一篇:全球觀焦點:瀘天化(000912.SZ):目前尿素產(chǎn)品依然有盈利�,市場仍有接貨空間
