1、顶象顶象业务安全引领者业务安全引领者2023 年车企年车企 App 安全研究白皮书安全研究白皮书marketingdingxiang-12023 年车企 App 安全研究白皮书北京顶象技术有限公司2023 年 6 月顶象顶象业务安全引领者业务安全引领者2023 年车企年车企 App 安全研究白皮书安全研究白皮书marketingdingxiang-2目录目录一 车企 App 面临双重风险.41.1 车企 App 的技术威胁.51.1.1 ROOT 风险.51.1.2 模拟器攻击风险.61.1.3 验证码爆破风险.61.1.4 系统 API Hook 风险.61.1.5 代理环境风险.61.1.

2、6 反编译风险.61.1.7 二次打包风险.61.1.8 通信风险.71.1.9 密码爆破风险.71.1.10 so 文件风险.71.1.11 签名校验风险.71.1.12 动态调试风险.71.1.13 进程注入风险.71.1.14 数据明文储存风险.71.1.15 Logcat 日志风险.81.1.16 任意文件上传风险.81.1.17 SQL 注入风险.81.1.18 XSS 漏洞风险.81.2 车企 App 合规风险.8二 车企 App 遭遇威胁攻击的原因.92.1 从封闭到联网的变化.92.2 软件与通信的漏洞.102.3 攻击者愈加专业.10三 车企 App 安全解决思路.113.1

3、 监管指导建议.113.2 技术解决思路.123.2.1 安全加固.123.2.2 安全检测.12四车企 App 安全方案.124.1 App 加固.124.2 App 隐私合规检测.13五 基于虚机源码保护的顶象 App 加固.135.1 顶象 App 加固介绍.135.2 虚机源码保护技术.145.2.1 运作流程.145.2.2 技术特点.155.3 顶象 App 加固后的安全性能.15六 汽车行业案例.16助东风雪铁龙防范黄牛党.16保障飞凡汽车 App 安全.17顶象顶象业务安全引领者业务安全引领者2023 年车企年车企 App 安全研究白皮书安全研究白皮书marketingding

4、xiang-3保障神州优车 App 账户安全.17保障理想汽车用户账户安全.17增强如期出行营销服务品质.17保障比亚迪售后服务系统安全.17助力 T3 出行防范营销欺诈.17七 附录.18关于顶象.18联系我们.19顶象顶象业务安全引领者业务安全引领者2023 年车企年车企 App 安全研究白皮书安全研究白皮书marketingdingxiang-4一一 车企车企 App 面临双重面临双重风险风险自有 App 成为各品牌汽车的标配，也成为车企必争的新战场。车企 App 不仅能够实现远程开启空调、门锁、启动车辆等功能，还提供购车、购买配件、维修、保养等基础服务，更承载着优化车主用车体验、构建品

5、牌私域流量池的新任务，成为车企与用户关系运营的重要渠道。车企 App 最核心的功能可以概括为三个部分：服务、社区、商城。服务是用户使用 App 的 基础需求；商城通过积分兑换提升用户粘性，通过商品售卖进行获利；社区则承担了增强用户粘性，提高用户活跃的重要功能。随着“以用户为中心”的市场战略和运营策略也在加快落地，车机互联、车友社区、购物娱乐等功能不断完善，车企 App 用户规模实现快速增长。除了以上服务，对车辆软硬件的操控，如解锁车门、升降车窗、远程启动、查看车辆行驶轨迹或当前位置等最“原始”的功能。随着车企 App 成为汽车交互的主要入口之一，隐私、安全问题频频爆出。随着智能网联技术逐步完善

6、，汽车网络安全的各种隐患也逐步浮现出水面，车企 App 需要应对各种威胁。2022 年 4 月，通用汽车通报检测到了恶意登录活动，黑客在某些情况下将客户奖励积分兑换为礼品卡，针对此次事件，通用汽车也及时给受影响的客服发邮件并告知客户。当年 12月，蔚来汽车就用户数据遭窃取发表致歉声明，证实了此前其用户数据被泄露的传闻，并表示公司承诺对因数据泄露给用户造成的损失承担责任。顶象顶象业务安全引领者业务安全引领者2023 年车企年车企 App 安全研究白皮书安全研究白皮书marketingdingxiang-5此外，监管部门对保障 App 用户合法权益非常重视，自 2019 年来，联合开展 App 专