最新要闻
- 我在大湾区推“茶”出“新”
- 瞬间卖爆!《星空》预购首日登顶Steam热销榜 头条焦点
- 网球明星的特斯拉被盗 结果小偷被“车载限速、定位”教育|环球时快讯
- 今日快看!毕业典礼比心时校长手指被强制“掰弯” 画面引网友发笑:够胆大
- 不容错过!霸王首乌/生姜洗发水狂促发车:券后19.9元一大瓶
- 耗时三年 丰田发布全新周边!首个可移动式豪华卫生间正式亮相
- 女子称撑破试穿裙子无奈买下 裙子一扯像纸就烂:网友热议为何要讹人
- 只坑有钱人!史玉柱称感谢网友表扬:中国最缺计算数学人才 曾给浙大捐五千万 |全球速讯
- 今亮点!《小美人鱼》全球票房突破4亿美元:黑美人鱼称要成为大家榜样、公主
- 自抽脸?日本突然声称核污水危害健康 曾高喊可饮用、ALPS成笑话
- 青岛通报“一桌饭菜收费三次”:错收3400元已退还
- 铭凡推出HN2673迷你主机:12代i7 首搭锐炫独显 全球新要闻
- 蔚来全系车型降3万!新车主“二选一”:可退3万块
- 泰安市财政局调研组到高新区调研财税工作
- 小米发布99元真无线耳机:单耳仅3.6g 28小时长续航
- 环球看点!似曾相识!麦芒A20官宣:5000万像素高清影像
手机
iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
- 警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- 男子被关545天申国赔:获赔18万多 驳回精神抚慰金
- 3天内26名本土感染者,辽宁确诊人数已超安徽
- 广西柳州一男子因纠纷杀害三人后自首
- 洱海坠机4名机组人员被批准为烈士 数千干部群众悼念
家电
天天速递!解析汽车APP面临的18种攻击风险
近日,顶象发布《车企App安全研究白皮书》。该白皮书总结了目前汽车公司App所面临的主要技术威胁和合规风险,详细分析了这些风险产生的原因,并提供了相应的安全解决方案。
(资料图)
现在,自有App已成为各汽车品牌的标配。这些汽车厂商的App不仅可以帮助用户实现远程开启空调、门锁、启动车辆等常用功能,还提供购车、购买配件、维修、保养等基本服务。此外,它们还肩负着优化车主用车体验、构建品牌私域流量池等新任务,成为汽车企业与用户关系运营的重要渠道。
随着车企App成为汽车交互的主要入口之一,隐私和安全问题的出现也日益频繁。具体而言,车企App面临着技术和合规两种风险。
车企App普遍面临的攻击风险
技术风险
主要是包含Root、模拟器攻击、验证码爆破风险、系统API Hook、代理环境、反编译、二次打包、通信、密码爆破、so文件、签名校验、动态调试、进程注入、数据明文储存、Logcat日志、任意文件上传、SQL注入、XSS漏洞等风险:
Root风险。Root代表绝大部分移动设备的使用者能够掌握到的最高权限,使用户拥有了修改系统文件的权限,甚至可以控制账户、增加或删除硬件等。在Root环境下,App可以随意访问任意应用储存的任何数据,造成数据泄露、数据非法篡改等风险。
模拟器风险。模拟器是一种“仿真”程序,可以在电脑安模拟出一个独立的手机环境,最初是用于开发过程中调试、测试、模拟运行等。模拟器可以让攻击者监控应用关键函数、获取应用敏感数据、破解应用的目的,也可以采用多开方式手动操作或是结合模拟点击,成为黑灰产牟利的工具。
验证码爆破风险。用户使用手机号+验证码的方式进行登录时,短信验证码大部分情况下是由4~6位数字组成,如果没有对验证码的失效时间和尝试失败的次数做限制,攻击者就可以通过尝试这个区间内的所有数字来进行暴力破解攻击。同时,如果没有对验证码的发送次数进行限制,可以对同一手机号或者不同手机号无限次发送,存在恶意调用接口发送短信的风险,造成短信发送平台花费大量的短信费用,且易造成骚扰短信,影响用户的正常使用。
Hook风险。Hook技术是一门广泛用于计算机攻防对抗的技术。可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息进行处理。攻击者利用hook手段对APP进行脱壳、内存截取/修改等操作。
代理环境风险。App应用运行在代理环境下,通信过程能被中间人截获,造成用户请求伪造、重放攻击、敏感信息泄露等威胁。
反编译风险。反编译就是逆过程,高级语言源程序经过编译变成可执行文件,反编译出的App代码未做任何保护,信息数据、功能流程等都被暴露,攻击者能够完整地分析 App 的运行逻辑,尤其是相关业务接口协议、和通信加密的实现,给业务带来极大的风险。
二次打包风险。使用apktool对App进行解包,添加自定义的代码,回编译后,将APP重新安装到手机中可以正常运行。App被轻易的二次打包,很容易被攻击者添加恶意的代码或者添加广告,从而窃取登录账号密码、支付密码等,严重威胁用户隐私安全,也给公司的形象带来不利的影响。
通信风险。App与服务器进行交互时,使用不安全的HTTP协议,或关键数据明文传输,或互相不验证证书,攻击能够窃听、篡改、统信数据甚至篡改,进而影响数据的安全性,或者发动中间人攻击。
密码爆破风险。App上的用户账号,如果密码简单存在被暴力破解风险;如果如果没有对登录错误次数、请求时间进行校验,同时密码等敏感数据未进行加密处理,则可遭遇暴力破解的风险。
so文件风险。so文件是Linux下的程序函数库,即编译好的可以供其他程序使用的代码和数据。攻击者可以通过工具进行破解,使用调试工具对其动态调试,分析代码中的业务逻辑以及加密算法。
签名校验风险。App签名机制是对APK包完整性和发布机构唯一性的一种校验机制,需要对APK进行签名后才能后进行安装。大部分的安卓APP没有对正盗版进行校验,重新签名后的App在手机中安装后可以正常运行,车企App面临被攻击者二次打包、恶意篡改、山寨的风险。
动态调试风险。移动应用在运行的过程中,攻击者通常会使用调试器对程序进行动态调试,如果移动应用未做防动态调试保护,则程序运行过程中,攻击者可以通过动态调试技术,利用gdb/ida等调试工具对程序进行内存调试跟踪,可以窃取目标进程的数据信息,从而获取用户的隐私数据信息。
进程注入风险。如果程序本身对运行时的内存没有做任何的保护措施,攻击者通过反编译对源代码进行分析,定位到可以程序外 Hook 类似操作的关键位置,完全不需要修改程序本身,当程序运行到敏感的界面 Activity 时,从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息,并从内存中进行修改,尤其是对于涉及到支付等操作时,将严重威胁用户的财产安全。
数据明文储存风险。车辆VIN、安全码、车辆所有者等敏感信息如果直接明文存储在数据库或其他存储介质中,而不加任何加密或哈希处理。攻击者可以使用这些token来获取授权或模拟用户身份进行恶意操作。
Logcat日志风险。App在运行的过程中,如果日志的输出没有做好等级控制,查看日志时,用户名、密码等敏感信息可能被泄露。
任意文件上传风险。很多App具有文件上传功能,如果服务器对用户文件上传部分的控制不足或者处理缺陷,导致用户可以越过其本身权限向服务器上传可执行的恶意脚本文件,从而控制服务器,造成重要数据的丢失。
SQL注入风险。如果App在编写时没有对用户提交至服务器的数据的合法性进行校验,可以将SQL命令插入到Web表单进行提交,从而达到欺骗服务器执行恶意SQL命令的目的,实现对数据的任意读写,造成核心机密数据被窃取和篡改的安全风险。
XSS漏洞风险。在使用投诉、建议等功能时,如果在App编写时没有对用户输入数据的合法性以及在将数据输出到网页时数据的合法性进行校验,攻击者可以向Web页面里面插入恶意JavaScript、HTML代码,并且将构造的恶意数据显示在页面,从而泄露客户端的cookie或者其他敏感信息。
合规风险
合规风险主要是监管部门对App的审查。多个车企App存在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题,严重侵犯了用户的隐私和合法权益,监管部门按照《网络安全法》、《个人信息保护法》等法律法规,对违法违规的App通报批评,甚至被下架等处罚。
《白皮书》提供两大安全解决方案
针对这两种风险,《车企App安全研究白皮书》提供了两种解决方案:App加固和App隐私合规检测。
App加固
顶象App加固基于虚机源码保护技术,良好兼容Java、Kotlin、C/C++等多种语言。可以保护Android的DEX、配置、SO等16种数据和文件安全,可有效侦测对抗动态调试、代码注入、内存dump、root环境、多开环境、模拟器、重打包等风险。
顶象App加固提供了一套完整的工具链,首先把App代码编译成中间的二进制文件,随后生成独特的虚机源码保护执行环境以及只能在该环境下执行的运行程序。也就是虚机源码保护会在App内部隔离出独立的执行环境,该核心代码的运行程序在此独立的执行环境里运行。即便App本身被破解,这部分代码仍然不可见。
顶象App加固通过技术和管理手段来增强实际系统的安全防护能力),可以通过自身的探针感知到环境的变化,实时探测到外界对本环境的调试、注入等非正常执行流程变化,将调试动作引入程序陷阱,并发出警报,进而进行实时更新,进一步提高安全强度。此外,顶象App加固率先支持对iOS免源码加固,提供代码混淆、字符串混淆、符号混淆、指令虚化、防调试、反编译、防Class dump的保护,并支持Bitcode输出。
在准备阶段,虚机源码保护为用户提供一套完整的工具链,首先把用户待保护的核心代码编译成中间的二进制文件,随后生成独特的虚机源码保护执行环境和只能在该环境下执行的运行程序。
在App运行阶段,虚机源码保护会在App内部隔离出独立的执行环境,该核心代码的运行程序在此独立的执行环境里运行。
生成的虚机源码保护拥有独特的可变指令集,极大的提高了指令跟踪、逆向分析的难度。同时,虚机源码保护还提供了反调试能力和监控能力。虚机源码保护可以通过自身的探针感知到环境的变化,实时探测到外界对本环境的调试、注入等非正常执行流程变化,将调试动作引入程序陷阱,并发出警报,进而进行实时更新,提高安全强度。
App隐私合规检测
App隐私合规检测服务基于顶象内部积累多年的App隐私合规检测能力,帮助开发者发现App可能存在的各类隐私安全漏洞,提供详细的检测报告,并给出专业的合规整改建议。同时,顶象专业的隐私安全专家团队,还为开发者提供一对一专家咨询服务,帮助开发者高效检测,快速识别App潜在的隐私风险,构建安全可信的高质量App。
顶象应用隐私合规检测服务可以应用于上架前和合规检测。
上架前隐私检测。在各个移动应用市场在应用上架前,对App进行隐私检测,确保安全合规、发现存在的风险。
应用合规检测。基于多个监管文件,进行App日常合规检测、整改、二次检测和抽检等,防止对客户信息过度收集。
顶象应用隐私合规检测服务提供个人信息保护现状,威胁定位分析和可视化结果报告。
个人信息保护分析。从隐私政策文本、App收集使用个人信息行为、企业对用户权利的保障等三个方面,快速评估App针对个人信息保护的现状。
威胁分析定位。依据监管、行业、企业,对App收集的数据信息进行分析,通过AI沙箱检测+专家审查的方式,结合行业沉淀经验,建模定位,全方位保证分析结果的准确性。
可视化报告。通过全方位的隐私合规评估后,提供业务场景、检测项目、检测手段、检测结果以及问题展示。
问题整改跟进。对于检测的问题提供专家指导意见,提供解决方案。
《车企App安全研究白皮书》还详细介绍适用于车企App的安全产品,并着重介绍了多个车企App的安全实践案例,详细可以前往“顶象”官网免费下载。
业务安全大讲堂免费直播:立即报名
业务安全产品:免费试用
业务安全交流群:加入畅聊
关键词:
天天速递!解析汽车APP面临的18种攻击风险
告警:线上慎用 BigDecimal !-天天速递
我在大湾区推“茶”出“新”
瞬间卖爆!《星空》预购首日登顶Steam热销榜 头条焦点
网球明星的特斯拉被盗 结果小偷被“车载限速、定位”教育|环球时快讯
今日快看!毕业典礼比心时校长手指被强制“掰弯” 画面引网友发笑:够胆大
不容错过!霸王首乌/生姜洗发水狂促发车:券后19.9元一大瓶
耗时三年 丰田发布全新周边!首个可移动式豪华卫生间正式亮相
女子称撑破试穿裙子无奈买下 裙子一扯像纸就烂:网友热议为何要讹人
只坑有钱人!史玉柱称感谢网友表扬:中国最缺计算数学人才 曾给浙大捐五千万 |全球速讯
今亮点!《小美人鱼》全球票房突破4亿美元:黑美人鱼称要成为大家榜样、公主
全球速读:Java XML教程_编程入门自学教程_菜鸟教程-免费教程分享
自抽脸?日本突然声称核污水危害健康 曾高喊可饮用、ALPS成笑话
青岛通报“一桌饭菜收费三次”:错收3400元已退还
铭凡推出HN2673迷你主机:12代i7 首搭锐炫独显 全球新要闻
蔚来全系车型降3万!新车主“二选一”:可退3万块
泰安市财政局调研组到高新区调研财税工作
小米发布99元真无线耳机:单耳仅3.6g 28小时长续航
环球看点!似曾相识!麦芒A20官宣:5000万像素高清影像
大众CC超速迎头撞上大众途岳:后者A柱弯曲近乎报废_世界观速讯
【世界播资讯】还要啥自行车!2023款奇瑞艾瑞泽5 PLUS只要7.49万!快上车
北京修订电动自行车用锂电池标准:电池组超80℃ 车辆30秒内发声报警
探鱼的酱香味烤鱼,“酱”指的是什么酱呢?|环球精选
深度学习应用篇-自然语言处理-命名实体识别[9]:BiLSTM+CRF实现命名实体识别、实体、关系、属性抽取实战项目合集(含智能标注)_资讯推荐
环球今日报丨Qt 事件系统总结
Web网页端IM产品RainbowChat-Web的v5.0版已发布
【热闻】马斯克嘲讽人工智能:机器学习本质就是统计学
小学生用奶奶手机充值游戏2.9万 法院判决来了 世界视讯
“龙字辈”成员即将加入!长城发布全新硬派SUV 或命名:“翔龙”
河南雷暴大风 半米粗大树连根拔起 外卖小哥伸头躲过一劫
世界快播:蔚来宣布重大决定:免费换电权益解绑 全系车型降价3万
今日播报!村里种的“软黄金”迎来丰收季
每日速读!windows下如何杀掉Tomcat进程
焦点信息:5分钟学会数据结构中的线性链表
Python工具箱系列(三十五) 全球新消息
vue使用 elementUI中el-upload的遇到的问题总结
【新华解读】可转债退市机制逐步完善 未来或迎来“宽进宽出”市场生态_全球新动态
两批次食品不符合国家标准上黑榜 全球快资讯
俩石柱子被五菱一下子撞飞 附近店家感慨:此乃神车
米哈游去年赚了161亿!网友:够再开发十个《原神》了
每日快报!时代变了!未来18个月内 传奇瑞等大量国产车企将进入英国市场
世界速讯:越南因罕见高温遭遇“停电危机”:佳能等企业轮流停电
全球视讯!多种口味:和路雪经典大梦龙多口味雪糕16支88元发车
物联网开源操作系统简介 天天快资讯
Jenkins + Docker 一键自动化部署 Spring Boot 项目,步骤齐全,少走坑路! 全球微动态
甘肃省加快推进交通项目建设 每日快播
《暗黑4》第一件“军帽”在韩服现身 官方证实:最强欧皇诞生 属性无敌
苹果回应Mac Pro弃用AMD显卡:压根就不适配_天天微速讯
VIP体验卡到期!高考后饭菜的反差让人猝不及防:从“吃啥有啥”变“有啥吃啥”
今日报丨windows图片查看器修复(windows图片查看器)
解读投顾新规(一)| 扭转投顾“产品化”倾向 引导行业回归服务本源
【读财报】基金发行透视:年内发行规模同比下降15% 鹏扬、国融基金产品发行失败_全球快资讯
国家助学贷款累计发放超4000亿元 惠及2000多万名学生
曝苹果开发Vision Pro更便宜版本:屏幕、处理器会缩水|世界看热讯
A卡降价太狠 NVIDIA坐不住:RTX 4060将提前上市 2399买吗?|焦点
汽车人险胜蜘蛛侠
产销两旺 新能源车消费涌热潮
读改变未来的九大算法笔记10_读后总结与感想 播报
动力电池回收赛道不断升温 上市公司积极挖掘新蓝海-环球热推荐
全球速读:女子220斤家人为激励减肥奖6万 已减超20斤:网友鼓励加油
当前速递!显卡不买丐版就亏了?到底该怎么选?
电路中的pnp是什么意思(电路中pn结是什么意思) 世界关注
深度学习应用篇-计算机视觉-OCR光学字符识别[7]:OCR综述、常用CRNN识别方法、DBNet、CTPN检测方法等、评估指标、应用场景
面对英特尔大小核CPU AMD调整CPU供货和价格-每日速递
新华三率先推出私域行业大模型:百业灵犀
大师名团密集来京演出,“演艺之都”绽放国际星光 前沿资讯
白蛋白的功效与作用是什么_白蛋白的功效与作用 世界热点
“双万亿”之城、世界工厂……制造业重镇东莞涌现新动能-全球快看
刀锋战士2迅雷下载链接(刀锋战士2迅雷下载)-当前独家
每日热闻!蓝莓树苗怎么种植盆栽_蓝莓树苗怎么种
如果我是清风我将什么续写句子_如果我是清风我将
ps哪个版本最好用2020(ps哪个版本最好用)_全球时快讯
现在满族人的姓氏汉化 满族人的姓氏都有哪些-全球信息
世界观点:电信营业厅电话费_电信营业厅电话
全球热头条丨珠峰被救女士拒绝支付救人费用引争议 登山公司公布遇险原因
引用《道德经》,谈大国分歧,Sam Altman 最新演讲:AI 安全始于足下_环球报道
天天讯息:英媒:经济学家预测美国需至少加息两次才能平息通胀
热推荐:铃木天语sx4二手车(铃木天语sx4隐藏功能是什么?)
从“国家宝藏”到“何以中国”,总台文博类综艺这样创新实践|文化和自然遗产日
【天天播资讯】【技术积累】Java中的泛型【一】
天天亮点!HBase的数据结构原理与使用
Xilinx GTH 简介 ,CoaXpress FPGA PHY 部分-天天短讯
左偏树-环球观点
世界最新:ChatGPT只讲这25个笑话!有90%重复 网友:幽默是人类最后的尊严
环球速讯:火车站按摩椅现大量虫子 商家:每天都有打扫 很少有这种情况
焦点滚动:福建多地为何纷纷成立这一机构?
聚焦:希捷4TB机械硬盘史低 仅售288元
社交综艺为何能成爆款_世界百事通
芯片的战争
这些年,祝勇的“纸上故宫”都在写些什么?|文化观察 天天讯息
List 接口及其常用方法 全球即时看
文心一言 VS 讯飞星火 VS chatgpt (38)-- 算法导论5.4 2题 全球新要闻
吢丕的另一个情侣网名(吢)
环球短讯!最后一艘潜艇电影国语版百度云(最后一艘潜艇电影国语版)
镁条在空气中燃烧发出耀眼的白光(镁条在空气中燃烧)
女朋友不理你怎么办表情包_女朋友不理你怎么办
南京两大厦间现龙卷风:强风至路面闪现火花 每日视点
当前简讯:14代酷睿要来了 英特尔13代酷睿i9包装简化:独特身份消失
预计2025年突破万亿元规模 产学研各方共议储能大赛道
徐州城下城遗址博物馆“上新”