青驥資訊保安原創技術系列專題

當下是車聯網，智慧手機時代，透過手機端APP遠端連線車輛，即可控制車輛基本功能，比如一鍵啟動，遠端開啟空調，遠端升降車窗等等，為我們的出行提供了方便，但也擴大了攻擊面，手機端APP作為車聯網生態的一部分，其安全與隱私問題也是車輛廠商重點考慮的。

1 APP隱私合規

汽車資訊安全向來是自上而下的工作導向，對於手機端APP的安全也不例外。

2020年2月，歐盟資料保護委員會（European Data Protection Board）釋出了《車聯網個人資料保護指南（徵求意見稿）》。該指南聚焦聯網車輛和出行相關應用背景下的個人資料處理。EDPB分析了車聯網語境下GDPR和《電子隱私指令》（ePrivacy Directive）的適用。GDPR適用於對聯網車輛產生的個人資料所進行的處理。

此外，根據指南，聯網車輛和任何一個與其相連的裝置均被視為《電子隱私指令》第5條第3款意義上的“終端裝置”，因此《電子隱私指令》第5條第3款也必須適用。根據《電子隱私指令》第5條第3款，除特定情形外，在終端裝置中儲存資訊或訪問已經儲存的資訊必須事先取得同意。並且就儲存在終端裝置中的個人資料而言，在儲存或訪問該資訊時，《電子隱私指令》第5條第3款優先於GDPR第6條適用。

EDPB在指南中對三類資料予以了特別關注：

（1）地理位置資料；

（2）生物識別資料；

（3）可以揭露犯罪或其他違法行為的資料。

並且針對這三類資料分別提出了相應的處理原則。此外，EDPB還從設計和預設的資料保護、本地化處理、匿名化和假名化、資料主體權利的保障、資料保護影響評估、安全性和保密性等方面為行業參與者提供了一般性建議。

APP隱私合規當前實踐中以《App違法違規收集使用個人資訊行為認定方法》作為要求和指導開發部門進行隱私合規建設，《App違法違規收集使用個人資訊行為認定方法》主要公佈了6大類31條細則的規範要求：

• 是否公開收集使用個人資訊的規則？

主要針對隱私政策，嚴格要求APP中必須要有隱私政策，且隱私政策中要包含收集使用個人資訊規則的條目，在首次執行時必須透過彈窗等明顯方式提示使用者閱讀隱私政策。同時，隱私政策要容易訪問，容易閱讀。

• 是否明示收集用個人資訊的目的、方式和範圍？

主要針對收集使用個人資訊的目的、方式和範圍公示。要求必須全部列出這幾點，且在發生變化時，要採用更新隱私政策提醒使用者閱讀等適當的形式通知使用者，比如更新之後需要彈出隱私政策讓使用者確認同意才可繼續使用。如果涉及到敏感資訊收集需要同步告知使用者目的。

• 收集使用個人資訊是否徵得使用者同意？

主要針對維護使用者同意收集使用個人資訊的權利。首先是使用者必須明確同意才能夠收集，不得干擾使用者或直接收集，第二點是不能超出收集範圍，更新或者發生變化時需要使用者重新選擇更改或者設定許可權狀態，第三點是隱私政策應該使用者主動勾選而不得直接默認同意，不得誘騙誤導使用者非法收集，或者違反規則收集，同時要提供撤回收集的途徑。

• 是否遵循必要原則，僅收集與其提供的服務直接相關的個人資訊？

主要針對收集個人資訊最小化原則，禁止在使用者不同意收集非必要個人資訊、開啟非必要許可權或一次性開啟多個收集許可權時APP就拒絕正常提供業務功能。簡言之，使用者提供了必要的業務功能所需資訊或許可權則必須允許使用者正常使用業務功能。

• 是否未經同意向他人提供個人資訊？

主要針對第三方參與過程中對個人資訊的處置，向第三方提供使用者個人資訊需要經過使用者同意，而且要做匿名化處理，同時也不可以直接資料傳輸到後臺供第三方收集。其次，接入第三方應用時，也要明確告知使用者，徵求同意才可提供個人資訊。

• 是否按法律規定提供刪除或更正個人資訊功能，或公佈投訴、舉報方式等資訊？

主要針對使用者登出刪除個人資訊和投訴舉報兩個部分，要求企業必須提供有效的更正、刪除個人資訊和登出賬號的功能，不得設定不必要或不合理條件，提供了同時還要及時響應，需要人工處理的話要規定時限且不得超過。後臺要隨時保持跟進操作行為。企業同時要建立和公佈個人資訊保安投訴和舉報渠道，要承諾時限（最長15個工作日）且在規定時限內完成。

2 車企APP安全能力培養

以上我們對《車聯網個人資料保護指南》，《電子隱私指令》，《電子隱私指令》關鍵內容進行了簡單的介紹，對《App違法違規收集使用個人資訊行為認定方法》的重點問題進行分析。那麼結合近期的APP違規問題通報，關於APP隱私合規的能力培養我們該如何入手呢？個人建議從以下三方面入手：

1、資產梳理，整合第三方SDK與外包APP開發的資產管理是安全管理入手的第一步。資產梳理不完善，出現隱私政策中未完全宣告第三方，SDK資訊收集或第三方SDK隱私資訊收集，導致企業受到處罰，已有較多通報案例。

2、隱私合規培訓，APP作為一款產品，產品或專案經理在肩負APP合規重要職責，在專案設計階段開始就APP的隱私合規的需求及做出相關合規設計和規劃，相對於出現問題後通報整改，可以極大減少投入成本和業務風險。產品或專案負責人對此類需求識別能力需要企業投入相關資源進行培訓，同時建立隱私合規意識與文化，健全隱私合規相關的產品規範要求。

3、第三方管理，對於提供相關功能SDK或承包相關程式碼開發的供應商而言，產品的價值在於商業變現，隱私合規要求的管控是當前車企以及眾多企業的難點。一方面，沒有有效的檢測手段檢測第三方SDK或專案程式碼在執行過程中的許可權獲取與資訊收集，另一方面，企業自身對隱私合規的理解和認識，尚未完全轉化為相關制度或合同約束。開源SDK或商業SDK的隱私合規檢測需要考慮引入具備檢測能力的乙方，共同參與或企業內部進行合規檢測工具的自研。

3 APP安全防護

汽車手機端APP作為重要的客戶終端連線點亦是重要的安全突破口。車企手機APP的客戶端防護可以考慮從以下三個方面入手：

1。 程式碼防護，當前APK檔案中程式碼檔案主要是Dex檔案與So檔案兩類，其中Java程式碼開發的Dex檔案在對抗逆向分析中容易被突破，針對Dex檔案防護，通常思路是進行Dex加殼防護，對於部分小微企業開發的APP所使用的免費加固策略主要就是針對Dex的加殼加固以及對二次打包的防護。

Dex檔案的高階防護目前安全廠商主要技術路線有兩類：一類是在Dex殼中提高防護強度即Dex-VMP殼，此類防護的技術原理為透過對Dex檔案反編譯處理後的指令進行再處理，使處理後的指令只能由特定的直譯器進行解析之後再執行原指令效果

另一類則是將Dex檔案中的指令進行抽取到So檔案中進行防護即Java2C或Dex2C，此類防護避開了Dex檔案較為容易逆向的弱點，將對抗戰場放到ARM指令為主的So檔案上。程式碼防護的安全核心是業務邏輯與關鍵資訊的防護，而效能耗損與相容性則是使用程式碼防護同樣需要的一點。

2。 動態防護，程式碼防護能力的不斷提高，促使攻防戰場也逐漸轉移到APP執行過程中。當前APP動態防護一方面是對抗動態攻擊的攻擊環境，如反Root、反模擬器、反除錯等，另一方面是對抗動態攻擊的攻擊手法，如反記憶體注入、反Hook。

3。 關鍵檔案防護，客戶端APP需要對金鑰儲存檔案、配置類檔案的進行加密。

4 總結

關於汽車手機端APP的隱私與安全問題，我們重點回顧了《App違法違規收集使用個人資訊行為認定方法》細則內容，對於汽車企業的隱私合規能力建設也提出了建議，最後是我們安全APP本身安全的防護，希望能從安全的角度引起大家對汽車手機端APP安全問題的重視。