2023年车企App安全研究白皮书

顶象—业务安全引领者《2023年车企App安全研究白皮书》 1 marketing@dingxiang-inc.com 2023年 车企App安全研究白皮书 北京顶象技术有限公司2023年6月 目录 —车企App面临双重风险4 1.1车企App的技术威胁5 1.1.1ROOT风险5 1.1.2模拟器攻击风险6 1.1.3验证码爆破风险6 1.1.4系统APIHook风险6 1.1.5代理环境风险6 1.1.6反编译风险6 1.1.7二次打包风险6 1.1.8通信风险7 1.1.9密码爆破风险7 1.1.10so文件风险7 1.1.11签名校验风险7 1.1.12动态调试风险7 1.1.13进程注入风险7 1.1.14数据明文储存风险7 1.1.15Logcat日志风险8 1.1.16任意文件上传风险8 1.1.17SQL注入风险8 1.1.18XSS漏洞风险8 1.2车企App合规风险8 二车企App遭遇威胁攻击的原因9 2.1从封闭到联网的变化9 2.2软件与通信的漏洞10 2.3攻击者愈加专业10 三车企App安全解决思路11 3.1监管指导建议11 3.2技术解决思路12 3.2.1安全加固12 3.2.2安全检测12 四车企App安全方案12 4.1App加固12 4.2App隐私合规检测13 五基于虚机源码保护的顶象App加固13 5.1顶象App加固介绍13 5.2虚机源码保护技术14 5.2.1运作流程14 5.2.2技术特点15 5.3顶象App加固后的安全性能15 六汽车行业案例16 助东风雪铁龙防范黄牛党16 保障飞凡汽车App安全17 保障神州优车App账户安全17 保障理想汽车用户账户安全17 增强如期出行营销服务品质17 保障比亚迪售后服务系统安全17 助力T3出行防范营销欺诈17 七附录18 关于顶象18 联系我们19 —车企App面临双重风险 自有App成为各品牌汽车的标配，也成为车企必争的新战场。车企App不仅能够实现远程开启空调、门锁、启动车辆等功能，还提供购车、购买配件、维修、保养等基础服务，更承载着优化车主用车体验、构建品牌私域流量池的新任务，成为车企与用户关系运营的重要渠道。 车企App最核心的功能可以概括为三个部分：服务、社区、商城。服务是用户使用App的基础需求；商城通过积分兑换提升用户粘性，通过商品售卖进行获利；社区则承担了增强用户粘性，提高用户活跃的重要功能。随着“以用户为中心”的市场战略和运营策略也在加快落地，车机互联、车友社区、购物娱乐等功能不断完善，车企App用户规模实现快速增长。 除了以上服务，对车辆软硬件的操控，如解锁车门、升降车窗、远程启动、查看车辆行驶轨迹或当前位置等最“原始”的功能。 随着车企App成为汽车交互的主要入口之一，隐私、安全问题频频爆出。随着智能网联技术逐步完善，汽车网络安全的各种隐患也逐步浮现出水面，车企App需要应对各种威胁。 2022年4月，通用汽车通报检测到了恶意登录活动，黑客在某些情况下将客户奖励积分兑 换为礼品卡，针对此次事件，通用汽车也及时给受影响的客服发邮件并告知客户。当年12月，蔚来汽车就用户数据遭窃取发表致歉声明，证实了此前其用户数据被泄露的传闻，并表示公司承诺对因数据泄露给用户造成的损失承担责任。 此外，监管部门对保障App用户合法权益非常重视，自2019年来，联合开展App专项整治工作，与App治理相关的法律文件也相继出台。违法违规的App不仅收到监管机构的通报批评，还面临被下架等监管处罚。 总体来说，汽车App面临两重风险：技术威胁、合规风险。 1.1车企App的技术威胁 一辆智能网联汽车每天会产生大约10TB的数据，驾乘人员的出行轨迹、驾乘习惯、车内语音图像等个人信息都面临着被泄露的风险。攻击者可以通过网络漏洞攻击劫持或控制车辆行驶，实施关闭引擎、突然制动、开关车门等操控。数据显示，2020年全球针对智能网联汽车的攻击达到280余万次。 综合来看，车企App主要以下安全威胁。 1.1.1ROOT风险 Root代表绝大部分移动设备的使用者能够掌握到的最高权限，使用户拥有了修改系统文件的权限，甚至可以控制账户、增加或删除硬件等。在ROOT环境下，App可以随意访问任意 应用储存的任何数据，造成数据泄露、数据非法篡改等风险。 1.1.2模拟器攻击风险 模拟器是一种“仿真”程序，可以在电脑安模拟出一个独立的手机环境，最初是用于开发过程中调试、测试、模拟运行等。模拟器可以让攻击者监控应用关键函数、获取应用敏感数据、破解应用的目的，也可以采用多开方式手动操作或是结合模拟点击，成为黑灰产牟利的工具。 1.1.3验证码爆破风险 用户使用手机号+验证码的方式进行登录时，短信验证码大部分情况下是由4～6位数字组成，如果没有对验证码的失效时间和尝试失败的次数做限制，攻击者就可以通过尝试这个区间内的所有数字来进行暴力破解攻击。同时，如果没有对验证码的发送次数进行限制，可以对同一手机号或者不同手机号无限次发送，存在恶意调用接口发送短信的风险，造成短信发送平台花费大量的短信费用，且易造成骚扰短信，影响用户的正常使用。 1.1.4系统APIHook风险 Hook技术是一门广泛用于计算机攻防对抗的技术。可以监视系统或者进程中的各种事件消息，截获发往目标窗口的消息进行处理。攻击者利用hook手段对App进行脱壳、内存截取 /修改等操作。 1.1.5代理环境风险 App应用运行在代理环境下，通信过程能被中间人截获，造成用户请求伪造、重放攻击、敏感信息泄露等威胁。 1.1.6反编译风险 反编译就是逆过程，高级语言源程序经过编译变成可执行文件，反编译出的App代码未做任何保护，信息数据、功能流程等都被暴露，攻击者能够完整地分析App的运行逻辑，尤其是相关业务接口协议、和通信加密的实现，给业务带来极大的风险。 1.1.7二次打包风险 使用apktool对App进行解包，添加自定义的代码，回编译后，将App重新安装到手机中可以正常运行。App被轻易的二次打包，很容易被攻击者添加恶意的代码或者添加广告，从而窃取登录账号密码、支付密码等，严重威胁用户隐私安全，也给公司的形象带来不利的影响。 1.1.8通信风险 App与服务器进行交互时，使用不安全的HTTP协议，或关键数据明文传输，或互相不验证证书，攻击能够窃听、篡改、统信数据甚至篡改，进而影响数据的安全性，或者发动中间人攻击。 1.1.9密码爆破风险 App上的用户账号，如果密码简单存在被暴力破解风险；如果如果没有对登录错误次数、请求时间进行校验，同时密码等敏感数据未进行加密处理，则可遭遇暴力破解的风险。 1.1.10so文件风险 so文件是Linux下的程序函数库,即编译好的可以供其他程序使用的代码和数据。攻击者可以通过工具进行破解，使用调试工具对其动态调试，分析代码中的业务逻辑以及加密算法。 1.1.11签名校验风险 App签名机制是对APK包完整性和发布机构唯一性的一种校验机制，需要对APK进行签名后才能后进行安装。大部分的安卓App没有对正盗版进行校验，重新签名后的App在手机中安装后可以正常运行，车企App面临被攻击者二次打包、恶意篡改、山寨的风险。 1.1.12动态调试风险 App在运行的过程中，攻击者通常会使用调试器对程序进行动态调试，如果App未做防动态调试保护，则程序运行过程中，攻击者可以通过动态调试技术，利用gdb/ida等调试工具对程序进行内存调试跟踪，可以窃取目标进程的数据信息，从而获取用户的隐私数据信息。 1.1.13进程注入风险 如果程序本身对运行时的内存没有做任何的保护措施，攻击者通过反编译对源代码进行分析，定位到可以程序外Hook类似操作的关键位置，完全不需要修改程序本身，当程序运行到敏感的界面Activity时，从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息，并从内存中进行修改，尤其是对于涉及到支付等操作时，将严重威胁用户的财产安全。 1.1.14数据明文储存风险 车辆VIN、安全码、车辆所有者等敏感信息如果直接明文存储在数据库或其他存储介质中，而不加任何加密或哈希处理。攻击者可以使用这些token来获取授权或模拟用户身份进行恶 意操作。 1.1.15Logcat日志风险 App在运行的过程中，如果日志的输出没有做好等级控制，查看日志时，用户名、密码等敏感信息可能被泄露。 1.1.16任意文件上传风险 很多App具有文件上传功能，如果服务器对用户文件上传部分的控制不足或者处理缺陷，导致用户可以越过其本身权限向服务器上传可执行的恶意脚本文件，从而控制服务器，造成重要数据的丢失。 1.1.17SQL注入风险 如果App在编写时没有对用户提交至服务器的数据的合法性进行校验，可以将SQL命令插入到Web表单进行提交，从而达到欺骗服务器执行恶意SQL命令的目的，实现对数据的任意读写，造成核心机密数据被窃取和篡改的安全风险。 1.1.18XSS漏洞风险 在使用投诉、建议等功能时，如果在App编写时没有对用户输入数据的合法性以及在将数据输出到网页时数据的合法性进行校验，攻击者可以向Web页面里面插入恶意JavaScript、HTML代码，并且将构造的恶意数据显示在页面，从而泄露客户端的cookie或者其他敏感信息。 车企App一旦出现安全风险，将会给汽车造成难以估量的安全威胁，严重危及财产安全乃至生命安全。未知攻焉知防，只有先了解有哪些风险才能够有效防范。 1.2车企App合规风险 2023年，工业和信息化部通报了2023年第2批侵害用户权益行为的App（SDK）名单，共有55款App被通报，涉及强制、频繁、过度索取权限等问题。这些App存在着一些消费者难以察觉的问题，如频繁自启动和关联启动、超范围索权、应用分发平台信息不到位等，给用户的安全和隐私带来了风险。 根据2019年到2023年《关于侵害用户权益行为的App》通报显示，共有2142款App/SDK遭到处罚。这些App主要存在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题，严重侵犯了用户的隐私和合法权益，给用户的生活和工作带来了不小的影响。 为了解决以上问题，工业和信息化部正在加强监管力度，多次发布关于侵害用户权益的通知和指导意见，并按照《网络安全法》、《个人信息保护法》等法律法规，对违规行为进行打击和处罚。 二车企App遭遇威胁攻击的原因 媒体不完全统计，2019年，攻击者通过入侵汽车App、改写程序和数据的方式，盗走包含奔驰CLA、GLA小型SUV、Smartfortwo微型车在内的100多辆汽车。相比于以盗窃汽车为目的的黑客攻击，智能汽车在网络安全和行驶过程中遭到黑客攻击带来的危险性显然更为严重。 知名汽车网络安全公司UpstreamSecurity发布的2020年《汽车网络安全报告》显示，自2016年至2020年1月份，汽车网络安全事件增长了605%，仅2019年一年就增长1倍以上。按照目前的发展趋势，随着汽车联网率的不断提升，预计未来此类安全问题将更加突出。 2.1从封闭到联网的变化 车联网的概念源于物联网，即车辆物联网，是以行驶中的车辆为信息感知对象，借助新一代信息通信技术，实现车与X（即车与车、人、路、服务平台）之间的网络连接。车联网能够提升车辆整体的智能驾驶水平，为用户提供安全、舒适、智能、高效的驾驶感受与交通服务，同旪提高交通运行效率，提升社会交通服务的智能化水平。 汽车原本没有考虑联网需求，随着汽车产业向智能化、网联化、共享化、电动化为特征的“新四化”方向狂飙迈进，汽车不再只是孤立的交通工具，而是成为融入互联互通体系的信息终端，车与车、终端应用、路边基础设施以及云端之间的联通也随之大大增强，由此导致更多的信息安全接入点和风险点被暴露出来。业务、数据、用户信息、运营过程等均处于边界模 糊且日益开放的环境中，存在各类风险。