手机APP信息安全系列文章

智能网联车辆APP

智能网联汽车其实从字面意思理解即可得其意之七八,智能汽车就是可以实现自动驾驶,不需要人工或者仅需要少量人力即可实现自动驾驶的汽车,再加上网联,顾名思义就是可以支持网络连接,实现信息共享的智能汽车。

智能网联汽车可以通过一定的设备建立车与车之间的联接、车与网络中心、智能交通系统等服务中心的联接,甚至是车与住宅、办公室以及一些公共基础设施的联接。

2018年4月,工业和信息化部、公安部、交通运输部联合发布《智能网联汽车道路测试管理规范(试行)》,地方将制定实施细则,具体组织开展自动驾驶道路测试工作。

开发智能网联车辆APP的需求一直在快速增长, 整体功能旨在实现自动化和人工智能。供需日益普遍,与此同时,网络犯罪分子也开始对这一领域感兴趣。

您是否注意了在Android手机上安装的

智能网联车辆APP的网络安全风险?

科技产业面临的主要挑战

虽然智能手机控制汽车可以更高效,但它将也将为黑客创造了攻击机会。在某些情况下,黑客可能能够从远程位置向车辆发送命令,以窃取私人和公司数据,跟踪单个车辆或整个车队并劫持车辆功能。例如速度与激情8中的僵尸车队,或是远程控制的汽车炸弹。由此,您是否对智能网联车辆的APP能否应对网络安全领域不断变化的挑战而感到一丝担忧,甚至不寒而栗呢?

我们的评估标准

从技术角度来看,操作系统(OS)将由智能手机制造商负责。但任何移动应用程序的开发都源于传统的软件开发。因此我们关注的焦点是APP设计的安全实践而不是智能手机操作系统(OS)。

被测试的智能网联车辆APP的挑选标准是什么?

本次评测选择了目前国内流行的智能网联车辆的手机APP进行行测试。我们的目标是提醒智能网联车辆的制造商,让他们了解当前的网络安全状况以及可能会对其控制智能网联车辆的APP产生潜在威胁的漏洞。

我们的评估基于以下标准:

  1. 生产厂家: 受欢迎

  2. 类型:云服务和一般功能

  3. 安全最佳实践 (见下面的框架)

image.png

资源:

  • CWE knowledge Base

  • Security Advisory

安全评估标准:

开放式Web应用程序安全项目(OWASP)是一个非营利性组织,致力于提供有关应用程序安全性的公正,实用的信息。

智能网联车辆APP测试结果大公开

01

某款车联网云服务APP

设备平台:Android

测试结果:

1. 移动应用程序使用HTTP协议发送或接收数据。HTTP协议的设计不提供对传输数据的任何加密,如果攻击者位于同一网络中或者可以访问受害者的数据信道,则可以容易地拦截这些加密。

2. 移动应用程序使用动态加载的可执行代码。在某些情况下,动态加载代码可能会很危险。例如,如果代码位于外部存储器(例如SD卡)上,如果外部存储器是可读和/或可写的状态,并且攻击者可以访问它,则这可能导致代码注入漏洞。

02

某款远程控制功能车辆APP

设备平台:Android

测试结果:

1. 移动应用程序包含可能敏感的硬编码数据。有权访问APP的攻击者可以轻 松地从应用程序中提取此数据,并在任何进一步的攻击中使用它。

2. 将输入包含在原始SQL查询中可能会导致移动应用程序中的本地SQL注入漏洞。

什么是SQL注入?

SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。攻击者可以使用SQL Injection漏洞绕过应用程序安全措施。

03

某款远程控制及网上商城功能车辆APP

设备平台:Android

测试结果:

1. 移动应用程序启用了调试模式。应用程序开发人员在开发过程中使用调试模式,应在应用程序发布后禁用。此模式可以公开技术信息并实施对APP的逆向工程。

什么是逆向工程?

逆向工程是一种产品设计技术再现过程,即对一项目标产品进行逆向分析及研究,从而演绎并得出该产品的处理流程、组织结构、功能特性及技术规格等设计要素,以制作出功能相近,但又不完全一样的产品。逆向工程源于商业及军事领域中的硬件分析。其主要目的是在不能轻易获得必要的生产信息的情况下,直接从成品分析,推导出产品的设计原理。

2. 移动应用程序使用外部备份功能(默认Android备份机制),可以存储来自应用程序的敏感数据。在某些情况下,这可能会导致信息泄露。例如,电子邮件账户被泄露进而导致其他敏感信息的泄露。

04

某款实时车辆信息及网上商城功能车辆APP

设备平台:Android

测试结果:

1. 将输入包含在原始SQL查询中可能会导致移动应用程序中的本地SQL注入漏洞。正确的方法是使用超出用户控制的准备好的SQL语句。

2. 加密算法实施不当或执行不当可能会危及移动应用程序使用的数据存储和传输。

什么是加密算法实施不当或执行不当?

已知有一些加密或散列算法很弱,并且不建议再使用这样的MD5和RC4。

 

加密算法的错误使用可能导致敏感数据泄露,密钥泄漏,身份验证中断,不安全会话和欺骗攻击。

影响范围总结:

image.png

结论

从信息安全的角度来看,信息安全(IS)旨在保护计算机系统数据的机密性,完整性和可用性。我们的评估结果显示,手机APP无意创建了几种黑客窃取数据或个人信息的方法:

  • 不安全的数据存储

  • 传输层保护不足

  • 意外数据泄漏

  • 弱密码学

  • 客户端SQL注入

事实上,这是目前智能网联(ICV)手机APP最常出现的常见风险因素。

捡证网提供相关检测认证咨询服务,咨询电话:13636483412  QQ: 495226609 邮箱:yangda@jz-cert.com