顶象发布《车企App安全研究白皮书》,剖析品牌汽车App的两大类风险
近日,顶象发布《车企App安全研究白皮书》。该白皮书总结了当前车企App主要面临的技术威胁和合规风险,详细分析了风险产生的原因,并提出相应安全解决方案。
【资料图】
车企App成汽车品牌首选
自有App成为各品牌汽车的标配,也成为车企必争的新战场。车企App不仅能够实现远程开启空调、门锁、启动车辆等功能,还提供购车、购买配件、维修、保养等基础服务,更承载着优化车主用车体验、构建品牌私域流量池的新任务,成为车企与用户关系运营的重要渠道。车企App最核心的功能可以概括为服务、社区、商城三个部分。服务是用户使用App的 基础需求;商城通过积分兑换提升用户粘性,通过商品售卖进行获利;社区则承担了增强用户粘性,提高用户活跃的重要功能。随着“以用户为中心”的市场战略和运营策略也在加快落地,车机互联、车友社区、购物娱乐等功能不断完善,车企App用户规模实现快速增长。除了以上服务,对车辆软硬件的操控,如解锁车门、升降车窗、远程启动、查看车辆行驶轨迹或当前位置等最“原始”的功能。
车企App面临两类风险
随着车企App成为汽车交互的主要入口之一,隐私、安全问题更是频频爆出。一辆智能网联汽车每天会产生大约10TB的数据,驾乘人员的出行轨迹、驾乘习惯、车内语音图像等个人信息都面临着被泄露的风险。攻击者可以通过网络漏洞攻击劫持或控制车辆行驶,实施关闭引擎、突然制动、开关车门等操控。数据显示,2020年全球针对智能网联汽车的攻击达到280余万次。总体来说,车企App面临技术与合规两重风险。技术威胁主要是包含ROOT、模拟器攻击、验证码爆破风险、系统API Hook、代理环境、反编译、二次打包、通信、密码爆破、so文件、签名校验、动态调试、进程注入、数据明文储存、Logcat日志、任意文件上传、SQL注入、XSS漏洞等风险。合规风险主要是监管部门对APP的审查。据2019年到2023年《关于侵害用户权益行为的App》通报显示,共有2142款App/SDK遭到处罚。这些App主要存在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题,严重侵犯了用户的隐私和合法权益,监管部门按照《网络安全法》、《个人信息保护法》等法律法规,对违法违规的App通报批评,甚至被下架处罚。
车企App遭遇威胁攻击的三个原因
知名汽车网络安全公司UpstreamSecurity发布的2020年《汽车网络安全报告》显示,自2016年至2020年1月份,汽车网络安全事件增长了605%,仅2019年一年就增长1倍以上。按照目前的发展趋势,随着汽车联网率的不断提升,预计未来此类安全问题将更加突出。
第一、从封闭到联网的变化。
随着汽车产业向智能化、网联化、共享化、电动化为特征的“新四化”方向狂飙迈进,汽车不再只是孤立的交通工具,而是成为融入互联互通体系的信息终端,车与车、终端应用、路边基础设施以及云端之间的联通也随之大大增强,由此导致更多的信息安全接入点和风险点被暴露出来。业务、数据、用户信息、运营过程等均处于边界模糊且日益开放的环境中,存在各类风险。
第二、层出不穷的新漏洞。
一辆智能汽车的车载智能设备数量不小于100台,所有程序代码不小于5000万行,因此整个智能驾驶代码将达2亿多行。代码数量越是庞大,软件越是复杂,那么其中包含的漏洞就越多,由此被攻击的概率也就越高。按照目前汽车平均拥有一亿行代码来计算,每辆智能汽车就可能存在10万个缺陷或漏洞。而这些缺陷以及漏洞会造成什么样的风险,没有人可以预测。漏洞是威胁的爆发源头,无论是病毒攻击还是黑客入侵大多是基于漏洞,业务、软件、系统、设备都要漏洞,只是有的被发现有的没被发现。软件漏洞、接口漏洞、管理漏洞等等。
第三、攻击者愈加专业。
攻击者呈现专业化、产业化、组织化的形态,他们熟悉业务流程以及防护逻辑,能够熟练运用自动化、智能化的新兴技术,不断开发和优化各类攻击工具,不断发起各类攻击。2021年机械工业出版社出版的《攻守道-企业数字业务安全风险与防范》一书和中国信通院2022年发布的《业务安全白皮书》中有详细地分析:
网络黑灰产彼此分工明确、合作紧密、协同作案,每一环节都有不同的牟利和运作方式,形成一条完整的产业链。以大规模牟利为目的网络黑灰产,熟悉业务流程以及防护逻辑,能够熟练运用自动化、智能化的新兴技术,不断开发和优化各类攻击工具,不断发起各类欺诈攻击。
相关数据显示,目前网络黑灰产从业人员近200万之众,每年造成的损失达数千亿元。
车企App安全解决思路
安全加固。针对App普遍存在的破解、篡改、盗版、调试、数据窃取等各类安全风险提供的有效的安全防护手段,其核心加固技术主要包含防逆向、防篡改、防调试及防窃取这四大方面,不仅保护了App自身安全,同时对App的运行环境及业务场景提供了保护。安全检测。通过自动化检测和人工渗透测试法对App进行全面检测,并挖掘出系统源码中可能存在的安全风险、漏洞等问题,帮助开发者了解并提高其应用开发程序的安全性,有效预防可能存在的安全风险。《车企App安全研究白皮书》还详细介绍适用于车企App的安全产品,并着重介绍了多个车企App的安全实践案例,详细可以前往“顶象”官网免费下载。
业务安全大讲堂免费直播:立即报名
业务安全产品:免费试用
业务安全交流群:加入畅聊
标签:
精彩推送
新闻快讯
X 关闭
X 关闭
新闻快讯
- 顶象发布《车企App安全研究白皮书》,剖析品牌汽车App的两大类风险
- 中国5月外汇储备31765.1亿美元 连续第7个月增加黄金储备 每日简讯
- 每一个微小的梦想,都值得全力以赴 世界热闻
- “AI+教育” 不能只挖掘工具价值 当前讯息
- 阿尔巴尼亚人种长相特点?
- 天源环保:公司生产制造的纳滤、反渗透集成装备可用于盐湖提锂过程中的工艺单元 公司尚未涉及该类业务_精选
- 华为100%自研数据库发布:国产替代重大进步,中国第一金融云!
- 接连举牌浙江交科和中原高速,长城人寿意欲何为?-全球微动态
- 打造开放化全场景消费生态 民生银行6.18让消费暖起来|焦点快报
- 我爱我家董秘回复:今年5月15日,公司和人工智能领域的头部公司第四范式达成正式的战略合作|每日信息
- 当前要闻:江苏银行北京广渠门支行:关爱农民工,守住“钱袋子”
- 下属公司累计被冻结5个银行账户,海南椰岛今日股价开盘即下跌_今热点
- 携程联合天津航空发布“京朋冀友 从津飞”空铁联运产品
- 焦点热文:广东省商务厅张劲松:近三年广东自贸试验区进出口总额年均增长超过25%
- 5900万元!山东奖励一季度“开门红”企业 引导工业生产加力提速 今日热文
- 康王总用好吗(康王怎么样) 环球报道
- 今日中国黄金基础金价(2023年6月7日)
- 光大证券收警示函 持续督导纳芯微帝科股份存4宗违规 简讯
- 中国5月末外汇储备报3.1765万亿美元 今日精选
- 花生的芽可以吃吗_肾结石花生可以吃吗|环球微头条
- 勇士试训大六锋线球员,他们还在继续为发展联盟寻找球员?
- 宇邦新材:公司的MBB焊带和SMBB焊带分别主要适用于P型的PERC电池和N型的Topcon电池
- 潍坊医学院有哪些专业 潍坊医学院专业排名
- 新华社权威快报丨前5个月我国货物贸易进出口同比增长4.7%
- 国家植物园退票收手续费吗? 全球消息
- 安居宝:鉴于公司2022年度经营情况,2022年度公司不进行利润分配及转增股本
- 武汉数字经济总量占全市GDP超四成-世界热资讯
- 聚焦“6•18”| 北京石景山:规范网络促销活动 约谈指导14家电商企业|天天热闻
- 全球视点!外交部发言人——中洪关系实现“开门红”
- 为高考助力,经开实小师生开启“护”考模式_当前报道
- 泰国恐怖片校园怪谈在线观看_泰国恐怖片-当前滚动
- 2023年“汉语桥”世界大中小学生中文比赛波兰赛区预选赛举行
- 天天热头条丨有趣的一堂课作文450字
- 虚拟数字人近日热度持续攀升 多家A股公司早已前瞻性布局-每日快播
- 步长制药:全资子公司保定天浩获“保定市先进集体”称号|热点在线
- 鞥怎么读的_鞥怎么读
- 全国爱眼日:“江苏博爱光明行”(常州)项目正式启动
- 致自己文案经典文案-天天时讯
- “爱心送考”再起航 全市2400余辆爱心车温情守护高考路_天天热推荐
- ipad4充电时间长好吗(ipad4充电时间)
- 前脸更加凌厉,雷克萨斯TX最新预告图公布
- 直击济宁高考首日:加油,少年!_最新快讯
- 2023高考首日现场!厦门学子加油!
- 邮报:诺丁汉森林想要利兹联中场泰勒-亚当斯
- 全球观点:梁建章解析中国的高房价困境
- 全球今日报丨海关总署:前5个月民营企业进出口8.86万亿元 占我外贸总值的52.8%
- 唱歌练气(如何练气唱歌)-环球热点
- 美国衰退概率大幅下降 白银TD上涨回落
- 通行宝:6月6日融资买入307.21万元,融资融券余额3647.2万元|环球热讯
- 世界即时看!阿莱德:6月6日融资买入1245.12万元,融资融券余额3351.4万元