¿A qué problemas de seguridad se enfrenta el software de Internet de los vehículos?

La tecnología de detección y diagnóstico de la aplicación móvil Internet of Vehicles es una base importante para el funcionamiento seguro de los vehículos. A medida que aumenta el número de vehículos, la seguridad operativa de los vehículos ha atraído una atención generalizada en todos los ámbitos de la vida. Si bien las aplicaciones móviles conectadas a Internet brindan a los usuarios comodidad y una experiencia personalizada, también enfrentan muchas amenazas a la seguridad de la información. He realizado el siguiente resumen de las principales amenazas a la seguridad existentes en las APP móviles actuales de Internet de los Vehículos:

1. Seguridad del cliente

Las amenazas a la seguridad del cliente incluyen principalmente la seguridad de la configuración, la seguridad de los componentes y seguridad del código. La seguridad de la configuración significa que la aplicación móvil no establece el atributo Debug y el atributo enablebackup en falso antes del lanzamiento oficial, lo que genera el riesgo de depuración y copia de seguridad arbitraria de los componentes de la aplicación móvil. La seguridad se refiere a las actividades, servicios y proveedores de contenido exportados; Las propiedades del componente del receptor de transmisión están configuradas incorrectamente, lo que hace que el código de seguridad del componente quede expuesto, lo que significa que el código de la aplicación móvil no se ofuscará ni reforzará antes del lanzamiento. Los atacantes pueden utilizar herramientas de descompilación como dex2jar, Jadx y apktool para obtener fácilmente el código fuente de la aplicación. Existen principalmente riesgos de descompilación de archivos, como riesgos de verificación de firmas y riesgos de descompilación de archivos dex.

2. Seguridad de los datos

En el proceso de uso de la aplicación móvil Internet of Vehicles, la información del usuario se almacenará en el teléfono móvil del propietario del automóvil. Por ejemplo, los desarrolladores tienen poca conciencia de seguridad y la información privada de los usuarios no está cifrada y se almacena directamente en texto sin cifrar en el teléfono móvil del propietario. Los piratas informáticos sólo necesitan rootear el teléfono del usuario y, en teoría, pueden robar toda la información personal del usuario. Además, si ve el registro de impresión en tiempo real a través de adb o un monitor, existe el riesgo de que le roben información confidencial (nombre de usuario, contraseña, etc.). ) Si la salida del registro no está bien controlada, se filtrará. Además, para garantizar la privacidad y confidencialidad de los datos, estos suelen estar cifrados y el almacenamiento seguro de las claves es muy importante. Si se filtra la clave, se perderá la seguridad de los datos cifrados. Los riesgos de seguridad que enfrenta la seguridad de los datos incluyen principalmente el riesgo del almacenamiento en texto sin formato de datos de preferencias compartidos, el riesgo del almacenamiento en texto sin formato de datos SQLite, el riesgo de fuga de datos de registro de Logcat y el riesgo de codificación rígida.

3. Seguridad de la comunicación

Durante el proceso de comunicación entre la aplicación móvil Internet of Vehicles y el TSP, se transmite una gran cantidad de información de privacidad del usuario. Si el tráfico de datos críticos no se cifra durante la transmisión de datos, puede provocar fácilmente la fuga de información privada del vehículo o del usuario. Además, se transmitirá una gran cantidad de información de control remoto del vehículo durante el proceso de comunicación V2X. Por ejemplo, en el proceso de comunicación entre vehículo y persona, los usuarios controlan remotamente el vehículo a través de la aplicación de teléfono móvil de Internet de los vehículos. En este proceso, si las identidades de las partes que se comunican no están autenticadas, el atacante puede secuestrar y alterar los mensajes de comunicación y reproducir los mensajes de comunicación falsificados para controlar el vehículo, lo que representa una grave amenaza para la seguridad de la vida del conductor.

Además, el atacante puede obtener conocimiento previo del protocolo de comunicación realizando una gran cantidad de pruebas repetidas en el vehículo y luego atacar el vehículo falsificando la información de control remoto del vehículo. Las amenazas a la seguridad de las comunicaciones incluyen principalmente protocolos de comunicación inseguros, autenticación insegura y datos críticos no cifrados.

4. Seguridad comercial

Esta parte del riesgo de seguridad se refiere principalmente a desarrolladores que no siguen estrictamente las pautas de desarrollo de aplicaciones móviles y manejan incorrectamente la lógica empresarial y los módulos funcionales de la aplicación móvil Internet of Vehicles, que incluye principalmente riesgos de autenticación de identidad, como el riesgo de que cualquier usuario inicie sesión, el riesgo de explosión de contraseña, el riesgo de cerrar sesión en la cuenta, etc. Riesgos del mecanismo del código de verificación, tales como: riesgo de explosión del código de verificación, riesgo de eco del código de verificación, riesgo de envío ilimitado del código de verificación, etc. Riesgos del mecanismo de pago, como el riesgo de alterar el monto del pago y el riesgo de alterar la cantidad de bienes; riesgos de control remoto, como el riesgo de manipulación de las instrucciones de control del automóvil y el riesgo de repetición de las instrucciones de control del automóvil; como vulnerabilidades de inyección SQL, vulnerabilidades XSS y acceso autorizado no autorizado, etc.