青驥信息安全原創(chuàng)技術(shù)系列專題

當(dāng)下是車聯(lián)網(wǎng)，智能手機(jī)時(shí)代，通過手機(jī)端APP遠(yuǎn)程連接車輛，即可控制車輛基本功能，比如一鍵啟動(dòng)，遠(yuǎn)程開啟空調(diào)，遠(yuǎn)程升降車窗等等，為我們的出行提供了方便，但也擴(kuò)大了攻擊面，手機(jī)端APP作為車聯(lián)網(wǎng)生態(tài)的一部分，其安全與隱私問題也是車輛廠商重點(diǎn)考慮的。

1   APP隱私合規(guī)

汽車信息安全向來是自上而下的工作導(dǎo)向，對于手機(jī)端APP的安全也不例外。

2020年2月，歐盟數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board）發(fā)布了《車聯(lián)網(wǎng)個(gè)人數(shù)據(jù)保護(hù)指南（征求意見稿）》。該指南聚焦聯(lián)網(wǎng)車輛和出行相關(guān)應(yīng)用背景下的個(gè)人數(shù)據(jù)處理。EDPB分析了車聯(lián)網(wǎng)語境下GDPR和《電子隱私指令》（ePrivacy Directive）的適用。GDPR適用于對聯(lián)網(wǎng)車輛產(chǎn)生的個(gè)人數(shù)據(jù)所進(jìn)行的處理。

此外，根據(jù)指南，聯(lián)網(wǎng)車輛和任何一個(gè)與其相連的設(shè)備均被視為《電子隱私指令》第5條第3款意義上的“終端設(shè)備”，因此《電子隱私指令》第5條第3款也必須適用。根據(jù)《電子隱私指令》第5條第3款，除特定情形外，在終端設(shè)備中存儲(chǔ)信息或訪問已經(jīng)存儲(chǔ)的信息必須事先取得同意。并且就存儲(chǔ)在終端設(shè)備中的個(gè)人數(shù)據(jù)而言，在存儲(chǔ)或訪問該信息時(shí)，《電子隱私指令》第5條第3款優(yōu)先于GDPR第6條適用。

EDPB在指南中對三類數(shù)據(jù)予以了特別關(guān)注：

（1）地理位置數(shù)據(jù)；

（2）生物識(shí)別數(shù)據(jù)；

（3）可以揭露犯罪或其他違法行為的數(shù)據(jù)。

并且針對這三類數(shù)據(jù)分別提出了相應(yīng)的處理原則。此外，EDPB還從設(shè)計(jì)和默認(rèn)的數(shù)據(jù)保護(hù)、本地化處理、匿名化和假名化、數(shù)據(jù)主體權(quán)利的保障、數(shù)據(jù)保護(hù)影響評(píng)估、安全性和保密性等方面為行業(yè)參與者提供了一般性建議。

APP隱私合規(guī)當(dāng)前實(shí)踐中以《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》作為要求和指導(dǎo)開發(fā)部門進(jìn)行隱私合規(guī)建設(shè)，《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》主要公布了6大類31條細(xì)則的規(guī)范要求：

•  是否公開收集使用個(gè)人信息的規(guī)則？

主要針對隱私政策，嚴(yán)格要求APP中必須要有隱私政策，且隱私政策中要包含收集使用個(gè)人信息規(guī)則的條目，在首次運(yùn)行時(shí)必須通過彈窗等明顯方式提示用戶閱讀隱私政策。同時(shí)，隱私政策要容易訪問，容易閱讀。

•  是否明示收集用個(gè)人信息的目的、方式和范圍？

主要針對收集使用個(gè)人信息的目的、方式和范圍公示。要求必須全部列出這幾點(diǎn)，且在發(fā)生變化時(shí)，要采用更新隱私政策提醒用戶閱讀等適當(dāng)?shù)男问酵ㄖ脩?，比如更新之后需要彈出隱私政策讓用戶確認(rèn)同意才可繼續(xù)使用。如果涉及到敏感信息收集需要同步告知用戶目的。

•  收集使用個(gè)人信息是否征得用戶同意？

主要針對維護(hù)用戶同意收集使用個(gè)人信息的權(quán)利。首先是用戶必須明確同意才能夠收集，不得干擾用戶或直接收集，第二點(diǎn)是不能超出收集范圍，更新或者發(fā)生變化時(shí)需要用戶重新選擇更改或者設(shè)置權(quán)限狀態(tài)，第三點(diǎn)是隱私政策應(yīng)該用戶主動(dòng)勾選而不得直接默認(rèn)同意，不得誘騙誤導(dǎo)用戶非法收集，或者違反規(guī)則收集，同時(shí)要提供撤回收集的途徑。

•  是否遵循必要原則，僅收集與其提供的服務(wù)直接相關(guān)的個(gè)人信息？

主要針對收集個(gè)人信息最小化原則，禁止在用戶不同意收集非必要個(gè)人信息、打開非必要權(quán)限或一次性打開多個(gè)收集權(quán)限時(shí)APP就拒絕正常提供業(yè)務(wù)功能。簡言之，用戶提供了必要的業(yè)務(wù)功能所需信息或權(quán)限則必須允許用戶正常使用業(yè)務(wù)功能。

•  是否未經(jīng)同意向他人提供個(gè)人信息？

主要針對第三方參與過程中對個(gè)人信息的處置，向第三方提供用戶個(gè)人信息需要經(jīng)過用戶同意，而且要做匿名化處理，同時(shí)也不可以直接數(shù)據(jù)傳輸?shù)胶笈_(tái)供第三方收集。其次，接入第三方應(yīng)用時(shí)，也要明確告知用戶，征求同意才可提供個(gè)人信息。

•  是否按法律規(guī)定提供刪除或更正個(gè)人信息功能，或公布投訴、舉報(bào)方式等信息？

主要針對用戶注銷刪除個(gè)人信息和投訴舉報(bào)兩個(gè)部分，要求企業(yè)必須提供有效的更正、刪除個(gè)人信息和注銷賬號(hào)的功能，不得設(shè)置不必要或不合理?xiàng)l件，提供了同時(shí)還要及時(shí)響應(yīng)，需要人工處理的話要規(guī)定時(shí)限且不得超過。后臺(tái)要隨時(shí)保持跟進(jìn)操作行為。企業(yè)同時(shí)要建立和公布個(gè)人信息安全投訴和舉報(bào)渠道，要承諾時(shí)限（最長15個(gè)工作日）且在規(guī)定時(shí)限內(nèi)完成。

2   車企APP安全能力培養(yǎng)

以上我們對《車聯(lián)網(wǎng)個(gè)人數(shù)據(jù)保護(hù)指南》，《電子隱私指令》，《電子隱私指令》關(guān)鍵內(nèi)容進(jìn)行了簡單的介紹，對《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》的重點(diǎn)問題進(jìn)行分析。那么結(jié)合近期的APP違規(guī)問題通報(bào)，關(guān)于APP隱私合規(guī)的能力培養(yǎng)我們該如何入手呢？個(gè)人建議從以下三方面入手：

1、資產(chǎn)梳理，集成第三方SDK與外包APP開發(fā)的資產(chǎn)管理是安全管理入手的第一步。資產(chǎn)梳理不完善，出現(xiàn)隱私政策中未完全聲明第三方，SDK信息收集或第三方SDK隱私信息收集，導(dǎo)致企業(yè)受到處罰，已有較多通報(bào)案例。

2、隱私合規(guī)培訓(xùn)，APP作為一款產(chǎn)品，產(chǎn)品或項(xiàng)目經(jīng)理在肩負(fù)APP合規(guī)重要職責(zé)，在項(xiàng)目設(shè)計(jì)階段開始就APP的隱私合規(guī)的需求及做出相關(guān)合規(guī)設(shè)計(jì)和規(guī)劃，相對于出現(xiàn)問題后通報(bào)整改，可以極大減少投入成本和業(yè)務(wù)風(fēng)險(xiǎn)。產(chǎn)品或項(xiàng)目負(fù)責(zé)人對此類需求識(shí)別能力需要企業(yè)投入相關(guān)資源進(jìn)行培訓(xùn)，同時(shí)建立隱私合規(guī)意識(shí)與文化，健全隱私合規(guī)相關(guān)的產(chǎn)品規(guī)范要求。

3、第三方管理，對于提供相關(guān)功能SDK或承包相關(guān)代碼開發(fā)的供應(yīng)商而言，產(chǎn)品的價(jià)值在于商業(yè)變現(xiàn)，隱私合規(guī)要求的管控是當(dāng)前車企以及眾多企業(yè)的難點(diǎn)。一方面，沒有有效的檢測手段檢測第三方SDK或項(xiàng)目代碼在運(yùn)行過程中的權(quán)限獲取與信息收集，另一方面，企業(yè)自身對隱私合規(guī)的理解和認(rèn)識(shí)，尚未完全轉(zhuǎn)化為相關(guān)制度或合同約束。開源SDK或商業(yè)SDK的隱私合規(guī)檢測需要考慮引入具備檢測能力的乙方，共同參與或企業(yè)內(nèi)部進(jìn)行合規(guī)檢測工具的自研。

3   APP安全防護(hù)

汽車手機(jī)端APP作為重要的客戶終端連接點(diǎn)亦是重要的安全突破口。車企手機(jī)APP的客戶端防護(hù)可以考慮從以下三個(gè)方面入手：

1. 代碼防護(hù)，當(dāng)前APK文件中代碼文件主要是Dex文件與So文件兩類，其中Java代碼開發(fā)的Dex文件在對抗逆向分析中容易被突破，針對Dex文件防護(hù)，通常思路是進(jìn)行Dex加殼防護(hù)，對于部分小微企業(yè)開發(fā)的APP所使用的免費(fèi)加固策略主要就是針對Dex的加殼加固以及對二次打包的防護(hù)。

Dex文件的高級(jí)防護(hù)目前安全廠商主要技術(shù)路線有兩類：一類是在Dex殼中提高防護(hù)強(qiáng)度即Dex-VMP殼，此類防護(hù)的技術(shù)原理為通過對Dex文件反編譯處理后的指令進(jìn)行再處理，使處理后的指令只能由特定的解釋器進(jìn)行解析之后再執(zhí)行原指令效果

另一類則是將Dex文件中的指令進(jìn)行抽取到So文件中進(jìn)行防護(hù)即Java2C或Dex2C，此類防護(hù)避開了Dex文件較為容易逆向的弱點(diǎn)，將對抗戰(zhàn)場放到ARM指令為主的So文件上。代碼防護(hù)的安全核心是業(yè)務(wù)邏輯與關(guān)鍵信息的防護(hù)，而性能耗損與兼容性則是使用代碼防護(hù)同樣需要的一點(diǎn)。

2. 動(dòng)態(tài)防護(hù)，代碼防護(hù)能力的不斷提高，促使攻防戰(zhàn)場也逐漸轉(zhuǎn)移到APP運(yùn)行過程中。當(dāng)前APP動(dòng)態(tài)防護(hù)一方面是對抗動(dòng)態(tài)攻擊的攻擊環(huán)境，如反Root、反模擬器、反調(diào)試等，另一方面是對抗動(dòng)態(tài)攻擊的攻擊手法，如反內(nèi)存注入、反Hook。

3. 關(guān)鍵文件防護(hù)，客戶端APP需要對密鑰存儲(chǔ)文件、配置類文件的進(jìn)行加密。

4   總結(jié)
關(guān)于汽車手機(jī)端APP的隱私與安全問題，我們重點(diǎn)回顧了《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》細(xì)則內(nèi)容，對于汽車企業(yè)的隱私合規(guī)能力建設(shè)也提出了建議，最后是我們安全APP本身安全的防護(hù)，希望能從安全的角度引起大家對汽車手機(jī)端APP安全問題的重視。