繼續(xù)見證5G+AI成長,進(jìn)博會(huì)全勤生高通確認(rèn)明年第八次參展來采銷直播間看京東11.11外設(shè)辦公總裁直播 11日14點(diǎn)準(zhǔn)時(shí)開播第七屆進(jìn)博會(huì)盤點(diǎn):高通攜手伙伴展示的驍龍8至尊版旗艦終端備受關(guān)注產(chǎn)業(yè)合作推動(dòng)AI發(fā)展 高通孟樸:攜手伙伴共抓5G+AI新機(jī)遇進(jìn)博會(huì)看技術(shù)變化,從5G手機(jī)到AI終端,高通技術(shù)支持行業(yè)拓展    高通獲頒“2024新消費(fèi)創(chuàng)新案例”,5G-A推動(dòng)數(shù)字消費(fèi)高質(zhì)量發(fā)展3G追趕,4G并行,5G趕超!高通孟樸進(jìn)博會(huì)談與中國伙伴合作歷程京東11.11巔峰28小時(shí)倒計(jì)時(shí) 爆款耳機(jī)音箱5折開搶手機(jī)內(nèi)卷下一站,AI Agent消息稱著名 AI 學(xué)者、天工智能首席科學(xué)家顏水成離開昆侖萬維昆侖萬維SkyReels AI短劇平臺(tái)將于12月10日在美國正式上線韓國今年進(jìn)口柴油車銷量預(yù)計(jì)跌破 1 萬輛,創(chuàng)近 17 年新低讓游戲黨一秒種草的大屏電視?海信這款百吋旗艦做到了!為用戶節(jié)省超120萬元 京東11.11攜手奔圖加速打印國產(chǎn)化進(jìn)程京東3C數(shù)碼“瘋狂星期一”驚喜放價(jià) TP-LINK攝像頭限時(shí)直降210元11月9日晚8點(diǎn)京東11.11火熱開啟!潮流配件9.9元起京東11.11最后一波Apple大放價(jià) iPhone 16 Pro系列持續(xù)加補(bǔ)1600元2024 ROG DAY狂歡啟航,ROG電競(jìng)顯示器助力三大戰(zhàn)車燃爆鄭州站!來京東11.11一次性搞定視頻、音頻等APP會(huì)員充值 省錢又省心歐萊雅中國"FUN YOUniverTH有意思青年"創(chuàng)變盛典耀動(dòng)進(jìn)博會(huì)
  • 首頁 > 研究報(bào)告

    頂象發(fā)布《車企App安全研究白皮書》

    2023年06月08日 14:13:03   來源:IT產(chǎn)業(yè)網(wǎng)

      近日,頂象發(fā)布《車企App安全研究白皮書》。該白皮書總結(jié)了當(dāng)前車企App主要面臨的技術(shù)威脅和合規(guī)風(fēng)險(xiǎn),詳細(xì)分析了風(fēng)險(xiǎn)產(chǎn)生的原因,并提出相應(yīng)安全解決方案。

    image.png

      車企App成汽車品牌首選

      自有App成為各品牌汽車的標(biāo)配,也成為車企必爭(zhēng)的新戰(zhàn)場(chǎng)。車企App不僅能夠?qū)崿F(xiàn)遠(yuǎn)程開啟空調(diào)、門鎖、啟動(dòng)車輛等功能,還提供購車、購買配件、維修、保養(yǎng)等基礎(chǔ)服務(wù),更承載著優(yōu)化車主用車體驗(yàn)、構(gòu)建品牌私域流量池的新任務(wù),成為車企與用戶關(guān)系運(yùn)營的重要渠道。

    1686107250115142.png

      車企App最核心的功能可以概括為服務(wù)、社區(qū)、商城三個(gè)部分。服務(wù)是用戶使用App的 基礎(chǔ)需求;商城通過積分兌換提升用戶粘性,通過商品售賣進(jìn)行獲利;社區(qū)則承擔(dān)了增強(qiáng)用戶粘性,提高用戶活躍的重要功能。隨著“以用戶為中心”的市場(chǎng)戰(zhàn)略和運(yùn)營策略也在加快落地,車機(jī)互聯(lián)、車友社區(qū)、購物娛樂等功能不斷完善,車企App用戶規(guī)模實(shí)現(xiàn)快速增長。

      除了以上服務(wù),對(duì)車輛軟硬件的操控,如解鎖車門、升降車窗、遠(yuǎn)程啟動(dòng)、查看車輛行駛軌跡或當(dāng)前位置等最“原始”的功能。

      車企APP面臨兩類風(fēng)險(xiǎn)

      隨著車企App成為汽車交互的主要入口之一,隱私、安全問題更是頻頻爆出。一輛智能網(wǎng)聯(lián)汽車每天會(huì)產(chǎn)生大約10TB的數(shù)據(jù),駕乘人員的出行軌跡、駕乘習(xí)慣、車內(nèi)語音圖像等個(gè)人信息都面臨著被泄露的風(fēng)險(xiǎn)。攻擊者可以通過網(wǎng)絡(luò)漏洞攻擊劫持或控制車輛行駛,實(shí)施關(guān)閉引擎、突然制動(dòng)、開關(guān)車門等操控。數(shù)據(jù)顯示,2020年全球針對(duì)智能網(wǎng)聯(lián)汽車的攻擊達(dá)到280余萬次。

      總體來說,車企App面臨技術(shù)與合規(guī)兩重風(fēng)險(xiǎn)。

      技術(shù)威脅主要是包含ROOT、模擬器攻擊、驗(yàn)證碼爆破風(fēng)險(xiǎn)、系統(tǒng)API Hook、代理環(huán)境、反編譯、二次打包、通信、密碼爆破、so文件、簽名校驗(yàn)、動(dòng)態(tài)調(diào)試、進(jìn)程注入、數(shù)據(jù)明文儲(chǔ)存、Logcat日志、任意文件上傳、SQL注入、XSS漏洞等風(fēng)險(xiǎn)。

      合規(guī)風(fēng)險(xiǎn)主要是監(jiān)管部門對(duì)APP的審查。據(jù)2019年到2023年《關(guān)于侵害用戶權(quán)益行為的App》通報(bào)顯示,共有2142款A(yù)pp/SDK遭到處罰。這些App主要存在違規(guī)收集、使用用戶個(gè)人信息、不合理索取用戶權(quán)限、為用戶賬號(hào)注銷設(shè)置障礙等問題,嚴(yán)重侵犯了用戶的隱私和合法權(quán)益,監(jiān)管部門按照《網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)法》等法律法規(guī),對(duì)違法違規(guī)的App通報(bào)批評(píng),甚至被下架等處罰。

      車企App遭遇威脅攻擊的三個(gè)原因

      知名汽車網(wǎng)絡(luò)安全公司UpstreamSecurity發(fā)布的2020年《汽車網(wǎng)絡(luò)安全報(bào)告》顯示,自2016年至2020年1月份,汽車網(wǎng)絡(luò)安全事件增長了605%,僅2019年一年就增長1倍以上。按照目前的發(fā)展趨勢(shì),隨著汽車聯(lián)網(wǎng)率的不斷提升,預(yù)計(jì)未來此類安全問題將更加突出。

      第一、從封閉到聯(lián)網(wǎng)的變化。汽車原本沒有考慮聯(lián)網(wǎng)需求,隨著汽車產(chǎn)業(yè)向智能化、網(wǎng)聯(lián)化、共享化、電動(dòng)化為特征的“新四化”方向狂飆邁進(jìn),汽車不再只是孤立的交通工具,而是成為融入互聯(lián)互通體系的信息終端,車與車、終端應(yīng)用、路邊基礎(chǔ)設(shè)施以及云端之間的聯(lián)通也隨之大大增強(qiáng),由此導(dǎo)致更多的信息安全接入點(diǎn)和風(fēng)險(xiǎn)點(diǎn)被暴露出來。業(yè)務(wù)、數(shù)據(jù)、用戶信息、運(yùn)營過程等均處于邊界模糊且日益開放的環(huán)境中,存在各類風(fēng)險(xiǎn)。

      第二、層出不窮的新漏洞。一輛智能汽車的車載智能設(shè)備數(shù)量不小于100臺(tái),所有程序代碼不小于5000萬行,因此整個(gè)智能駕駛代碼將達(dá)2億多行。代碼數(shù)量越是龐大,軟件越是復(fù)雜,那么其中包含的漏洞就越多,由此被攻擊的概率也就越高。按照目前汽車平均擁有一億行代碼來計(jì)算,每輛智能汽車就可能存在10萬個(gè)缺陷或漏洞。而這些缺陷以及漏洞會(huì)造成什么樣的風(fēng)險(xiǎn),沒有人可以預(yù)測(cè)。

      漏洞是威脅的爆發(fā)源頭,無論是病毒攻擊還是黑客入侵大多是基于漏洞,業(yè)務(wù)、軟件、系統(tǒng)、設(shè)備都要漏洞,只是有的被發(fā)現(xiàn)有的沒被發(fā)現(xiàn)。軟件漏洞、接口漏洞、管理漏洞等等。

      第三、攻擊者愈加專業(yè)。網(wǎng)絡(luò)攻擊者呈現(xiàn)專業(yè)化、產(chǎn)業(yè)化、組織化的形態(tài),他們熟悉業(yè)務(wù)流程以及防護(hù)邏輯,能夠熟練運(yùn)用自動(dòng)化、智能化的新興技術(shù),不斷開發(fā)和優(yōu)化各類攻擊工具,不斷發(fā)起各類攻擊。

      2021年機(jī)械工業(yè)出版社出版的《攻守道-企業(yè)數(shù)字業(yè)務(wù)安全風(fēng)險(xiǎn)與防范》一書和中國信通院2022年發(fā)布的《業(yè)務(wù)安全白皮書》中有詳細(xì)地分析:網(wǎng)絡(luò)黑灰產(chǎn)彼此分工明確、合作緊密、協(xié)同作案,每一環(huán)節(jié)都有不同的牟利和運(yùn)作方式,形成一條完整的產(chǎn)業(yè)鏈。以大規(guī)模牟利為目的網(wǎng)絡(luò)黑灰產(chǎn),熟悉業(yè)務(wù)流程以及防護(hù)邏輯,能夠熟練運(yùn)用自動(dòng)化、智能化的新興技術(shù),不斷開發(fā)和優(yōu)化各類攻擊工具,不斷發(fā)起各類欺詐攻擊。相關(guān)數(shù)據(jù)顯示,目前網(wǎng)絡(luò)黑灰產(chǎn)從業(yè)人員近200萬之眾,每年造成的損失達(dá)數(shù)千億元。

      車企App安全解決思路

      安全加固。針對(duì)App普遍存在的破解、篡改、盜版、調(diào)試、數(shù)據(jù)竊取等各類安全風(fēng)險(xiǎn)提供的有效的安全防護(hù)手段,其核心加固技術(shù)主要包含防逆向、防篡改、防調(diào)試及防竊取這四大方面,不僅保護(hù)了App自身安全,同時(shí)對(duì)App的運(yùn)行環(huán)境及業(yè)務(wù)場(chǎng)景提供了保護(hù)。

      安全檢測(cè)。通過自動(dòng)化檢測(cè)和人工滲透測(cè)試法對(duì)App進(jìn)行全面檢測(cè),并挖掘出系統(tǒng)源碼中可能存在的安全風(fēng)險(xiǎn)、漏洞等問題,幫助開發(fā)者了解并提高其應(yīng)用開發(fā)程序的安全性,有效預(yù)防可能存在的安全風(fēng)險(xiǎn)。

      《車企App安全研究白皮書》還詳細(xì)介紹適用于車企App的安全產(chǎn)品,并著重介紹了多個(gè)車企App的應(yīng)用實(shí)踐。

      文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。

    即時(shí)

    新聞

    明火炊具市場(chǎng):三季度健康屬性貫穿全類目

    奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。

    企業(yè)IT

    重慶創(chuàng)新公積金應(yīng)用,“區(qū)塊鏈+政務(wù)服務(wù)”顯成效

    “以前都要去窗口辦,一套流程下來都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。

    3C消費(fèi)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,高能實(shí)力,創(chuàng)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性價(jià)比很高,簡(jiǎn)直是創(chuàng)作者們的首選。

    研究

    中國信通院羅松:深度解讀《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系

    9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會(huì)——工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析專題論壇在沈陽成功舉辦。