谈谈汽车手机端APP安全

青骥信息安全原创技术系列专题

当下是车联网，智能手机时代，通过手机端APP远程连接车辆，即可控制车辆基本功能，比如一键启动，远程开启空调，远程升降车窗等等，为我们的出行提供了方便，但也扩大了攻击面，手机端APP作为车联网生态的一部分，其安全与隐私问题也是车辆厂商重点考虑的。

1   APP隐私合规

汽车信息安全向来是自上而下的工作导向，对于手机端APP的安全也不例外。

2020年2月，欧盟数据保护委员会（European Data Protection Board）发布了《车联网个人数据保护指南（征求意见稿）》。该指南聚焦联网车辆和出行相关应用背景下的个人数据处理。EDPB分析了车联网语境下GDPR和《电子隐私指令》（ePrivacy Directive）的适用。GDPR适用于对联网车辆产生的个人数据所进行的处理。

此外，根据指南，联网车辆和任何一个与其相连的设备均被视为《电子隐私指令》第5条第3款意义上的“终端设备”，因此《电子隐私指令》第5条第3款也必须适用。根据《电子隐私指令》第5条第3款，除特定情形外，在终端设备中存储信息或访问已经存储的信息必须事先取得同意。并且就存储在终端设备中的个人数据而言，在存储或访问该信息时，《电子隐私指令》第5条第3款优先于GDPR第6条适用。

EDPB在指南中对三类数据予以了特别关注：

（1）地理位置数据；

（2）生物识别数据；

（3）可以揭露犯罪或其他违法行为的数据。

并且针对这三类数据分别提出了相应的处理原则。此外，EDPB还从设计和默认的数据保护、本地化处理、匿名化和假名化、数据主体权利的保障、数据保护影响评估、安全性和保密性等方面为行业参与者提供了一般性建议。

APP隐私合规当前实践中以《App违法违规收集使用个人信息行为认定方法》作为要求和指导开发部门进行隐私合规建设，《App违法违规收集使用个人信息行为认定方法》主要公布了6大类31条细则的规范要求：

•  是否公开收集使用个人信息的规则？

主要针对隐私政策，严格要求APP中必须要有隐私政策，且隐私政策中要包含收集使用个人信息规则的条目，在首次运行时必须通过弹窗等明显方式提示用户阅读隐私政策。同时，隐私政策要容易访问，容易阅读。

•  是否明示收集用个人信息的目的、方式和范围？

主要针对收集使用个人信息的目的、方式和范围公示。要求必须全部列出这几点，且在发生变化时，要采用更新隐私政策提醒用户阅读等适当的形式通知用户，比如更新之后需要弹出隐私政策让用户确认同意才可继续使用。如果涉及到敏感信息收集需要同步告知用户目的。

•  收集使用个人信息是否征得用户同意？

主要针对维护用户同意收集使用个人信息的权利。首先是用户必须明确同意才能够收集，不得干扰用户或直接收集，第二点是不能超出收集范围，更新或者发生变化时需要用户重新选择更改或者设置权限状态，第三点是隐私政策应该用户主动勾选而不得直接默认同意，不得诱骗误导用户非法收集，或者违反规则收集，同时要提供撤回收集的途径。

•  是否遵循必要原则，仅收集与其提供的服务直接相关的个人信息？

主要针对收集个人信息最小化原则，禁止在用户不同意收集非必要个人信息、打开非必要权限或一次性打开多个收集权限时APP就拒绝正常提供业务功能。简言之，用户提供了必要的业务功能所需信息或权限则必须允许用户正常使用业务功能。

•  是否未经同意向他人提供个人信息？

主要针对第三方参与过程中对个人信息的处置，向第三方提供用户个人信息需要经过用户同意，而且要做匿名化处理，同时也不可以直接数据传输到后台供第三方收集。其次，接入第三方应用时，也要明确告知用户，征求同意才可提供个人信息。

•  是否按法律规定提供删除或更正个人信息功能，或公布投诉、举报方式等信息？

主要针对用户注销删除个人信息和投诉举报两个部分，要求企业必须提供有效的更正、删除个人信息和注销账号的功能，不得设置不必要或不合理条件，提供了同时还要及时响应，需要人工处理的话要规定时限且不得超过。后台要随时保持跟进操作行为。企业同时要建立和公布个人信息安全投诉和举报渠道，要承诺时限（最长15个工作日）且在规定时限内完成。

2   车企APP安全能力培养

以上我们对《车联网个人数据保护指南》，《电子隐私指令》，《电子隐私指令》关键内容进行了简单的介绍，对《App违法违规收集使用个人信息行为认定方法》的重点问题进行分析。那么结合近期的APP违规问题通报，关于APP隐私合规的能力培养我们该如何入手呢？个人建议从以下三方面入手：

1、资产梳理，集成第三方SDK与外包APP开发的资产管理是安全管理入手的第一步。资产梳理不完善，出现隐私政策中未完全声明第三方，SDK信息收集或第三方SDK隐私信息收集，导致企业受到处罚，已有较多通报案例。

2、隐私合规培训，APP作为一款产品，产品或项目经理在肩负APP合规重要职责，在项目设计阶段开始就APP的隐私合规的需求及做出相关合规设计和规划，相对于出现问题后通报整改，可以极大减少投入成本和业务风险。产品或项目负责人对此类需求识别能力需要企业投入相关资源进行培训，同时建立隐私合规意识与文化，健全隐私合规相关的产品规范要求。

3、第三方管理，对于提供相关功能SDK或承包相关代码开发的供应商而言，产品的价值在于商业变现，隐私合规要求的管控是当前车企以及众多企业的难点。一方面，没有有效的检测手段检测第三方SDK或项目代码在运行过程中的权限获取与信息收集，另一方面，企业自身对隐私合规的理解和认识，尚未完全转化为相关制度或合同约束。开源SDK或商业SDK的隐私合规检测需要考虑引入具备检测能力的乙方，共同参与或企业内部进行合规检测工具的自研。

3   APP安全防护

汽车手机端APP作为重要的客户终端连接点亦是重要的安全突破口。车企手机APP的客户端防护可以考虑从以下三个方面入手：

1. 代码防护，当前APK文件中代码文件主要是Dex文件与So文件两类，其中Java代码开发的Dex文件在对抗逆向分析中容易被突破，针对Dex文件防护，通常思路是进行Dex加壳防护，对于部分小微企业开发的APP所使用的免费加固策略主要就是针对Dex的加壳加固以及对二次打包的防护。

Dex文件的高级防护目前安全厂商主要技术路线有两类：一类是在Dex壳中提高防护强度即Dex-VMP壳，此类防护的技术原理为通过对Dex文件反编译处理后的指令进行再处理，使处理后的指令只能由特定的解释器进行解析之后再执行原指令效果

另一类则是将Dex文件中的指令进行抽取到So文件中进行防护即Java2C或Dex2C，此类防护避开了Dex文件较为容易逆向的弱点，将对抗战场放到ARM指令为主的So文件上。代码防护的安全核心是业务逻辑与关键信息的防护，而性能耗损与兼容性则是使用代码防护同样需要的一点。

2. 动态防护，代码防护能力的不断提高，促使攻防战场也逐渐转移到APP运行过程中。当前APP动态防护一方面是对抗动态攻击的攻击环境，如反Root、反模拟器、反调试等，另一方面是对抗动态攻击的攻击手法，如反内存注入、反Hook。

3. 关键文件防护，客户端APP需要对密钥存储文件、配置类文件的进行加密。

4   总结
关于汽车手机端APP的隐私与安全问题，我们重点回顾了《App违法违规收集使用个人信息行为认定方法》细则内容，对于汽车企业的隐私合规能力建设也提出了建议，最后是我们安全APP本身安全的防护，希望能从安全的角度引起大家对汽车手机端APP安全问题的重视。