汽车app渗透测试工具-汽车app渗透测试

汽车类App体验分析

� 搜狐汽车  6.3.3�

汽车之家  8.8.1

� 易车  8.8.1

� 懂车帝  3.0.1

选择理由：

（1）因为搜狐汽车主要为资讯类，所以主要以汽车资讯作为主要竞点来说；如汽车其他业务线日后单独做分析。

（2）上述产品为市面上知名的且相似的汽车资讯类App。

设备型号：iPhone 6s

操作系统：IOS11.3

测试网络：移动4G TD-LTE

汽车后市场，随着国内汽车保有量和销量逐年递增，以汽车配件用品、汽车养护、汽车维修、汽车保险销售等方面为主的汽车后市场也随之发展壮大，成为一条蕴含巨大商机的产业链。与之相对应的汽车后市场app也处于逐步增长、蓄势待发的阶段。公安部交管所的数据显示，目前中国的汽车保有量超过2.05亿，而极光大数据的报告中，汽车后市场app的整体渗透率仅1.9%，为1819.2万人，还不足汽车保有量的十分之一，或许预示着这个市场还拥有更加巨大的潜力有待挖掘。（摘自极光大数据）

市场量值，在这里不做统计，重点于App体验方面。以下省略。

产品slogan产品定位盈利模式

搜狐汽车专注车，只为你沉淀优质汽车内容广告、资讯、二手车

汽车之家新车，二手车报价平台帮助消费者购买和使用汽车广告、资讯、新车二手车、养车、电商等服务

易车买车报价，专业汽车新闻资讯买车、卖车广告、资讯、新车二手车、养车、电商等服务

懂车帝看车选车卖车必备神器看车选车卖车必备神器广告、资讯、二手车、其他业务等

就商业范围而言：汽车之家易车网懂车帝搜狐汽车。

这可能也是我们，日后需要着手的功能点。汽车之家涵盖了汽车后市场业务众多，在汽车互联网行业一直名列前茅，是汽车互联网行业市值最高的公司。易车经销商渠道市场覆盖率最高的公司。汽车之家从论坛做起，优点在于用户量大而且质量高，基于用户方便拓展各项汽车后市场业务，而易车拥有多渠道，所以着重点放在了扩展用户量。可谓是这两家互抢夺资源。在前三者面前，懂车帝是后来杀出来的黑马，快速的涵盖了基本业务，同时把资讯、查车做的极有特色，而且还添加了在许多领域巨火的小视频功能，把小视频放在主tab位置，极其吸引人，快速吸引到了年轻用户。

而搜狐汽车，主攻汽车资讯，内容涵盖全面，但的确缺少了像“小视频”的新颖内容服务。用户活跃度低，“侃车”用户交流气氛欠浓烈。

通过调查和推理可知，汽车车主用户最需要的是“论坛”形式的活跃氛围，其次了解更多汽车新闻，然后有更多服务模块甚至优惠。简单列了一个汽车类应用功能KANO需求模型如下图。这里的结构图中，我们将基本型需求全部标黑，期望型需求全部标蓝，兴奋型需求全部标绿。

以上规则也同样运用于下方分析。此外，我们还将盈利渠道标红，分类分组标灰色。

功能的完整性，是所期望的。根据不同产品的产品定位分别定位到不同的需求模型。比如，汽车之家和易车已经走向“全面型”产品，懂车帝黑马也不逊色的努力抓住汽车后市场，而搜狐汽车在汽车后市场方面有些欠缺，但作为汽车资讯比较全面。

搜狐汽车：

汽车之家：

易车：

懂车帝：

不同的战略目标，使得这些App有了不同的逻辑需求和功能。对于如此垂直领域的汽车App来说，“新闻”如何更精准的推送给用户是值得研究的话题，还有就是如何让有车、没车的用户都能感受到该产品也是值得拓展的思考。上述这些应用，基本上为有车用户提供了更多的服务内容，对无车用户服务项目大多都是内容方面。值得增加的比如【租车】栏目也很不错。

对于搜狐汽车与其他竞品的对比，搜狐汽车明显内容上大体相同，功能上欠缺。我认为，不妨多增加与外界网站的合作需求，增加功能模块，从而也显得App上功能多一些，同时互相换量赚取流量和用户。搜狐汽车应多加社交功能，让整个App气氛显得热闹，可以借鉴汽车之家的【论坛】功能和懂车帝的【小视频】功能，让用户有交流性和娱乐性。还有小功能上的增加，比如【签到】赚取【积分】，简单的“小红点”会引起注意让用户有参与感，积分可用来兑换礼物（比如可赠送搜狐视频会员等），来吸引用户流量。此外【外部链接】项目可更改到内部，这样一来，连接速度会加快，视觉美感以及使用方便性会增值。

需求增加建议小结：

积分吸引用户流量

烘托用户交流气氛，吸引用户流量

与外部网站合作，互相换量与吸引流量

协调有车、无车用户群体

外部链接的协调

其他App的建议不作提及。

【搜狐汽车】

优点：页面干净整洁，整体色调一致，对于用户来说上手比较容易。

缺点：分享、评论、点赞功能不够完善；搜狐号关注功能不完善，文章视觉效果有些单调。

【汽车之家】

优点：功能全面，五个主画面一致度高；功能效果也显著；论坛氛围融洽吸引用户流量；论坛分类细致，更容易找到志同道合的人；新闻推送可以删除文章，这个设计对猜用户喜欢比较有利。

缺点：功能丰富显得页面有些杂乱；广告过多；红点提醒标注过多，容易让用户心烦；外部链接过多，导致链接速度较慢；

【易车】

优点：功能适中，界面设计与

缺点：外部链接过多，导致链接速度较慢；服务界面颜色过多。

【懂车帝】

优点：最与众不同的就是选车内容里的车辆信息页面，设计美观，内容能够丰富。翻页动态效果舒适。

缺点：拍照识车的功能没有标注，只有一个小相机，容易不明白。其他缺点还需个人喜好的差异来看。

【搜狐汽车】内容运营丰富，也相对不错。缺少活动性的运营，缺少搜狐号的推广。吸引流量的力度小。

【汽车之家】因为功能丰富，所以活动也多。并且力度大。本身就拥有较大的用户群体，这样又吸引了更多用户。

【易车】优惠活动不甘示弱，但仍不如汽车之家的活动推广。

【懂车帝】因为是后来杀出来的黑马，所以宣传力度蛮大的。日常运营也做的不错，新鲜板块运营仍是热点。

运营小结：

日常运营、市场运营，汽车之家都居上，而且力度大。

搜狐汽车欠缺市场运营的占领和日常运营的丰富度。

同时搜狐汽车的用户运营，维护用户度低。

在与其他App的对比下，搜狐汽车在产品定位“阅读”下，信息量全面，但功能上有所欠缺，容易失掉用户。在竞争激烈的众多汽车应用行业，可能需要多增加业务线，来获得更多的盈利模式。同时需要强有力的运营来支持客户端的内容、用户、汽车后市场的推进。

界面设计下，搜狐汽车为最干净整齐的一个，如果保持基础设计的同时，增加功能的丰富度更为不错。能配合App更好的操作效果，更为一款简洁轻松的汽车资讯App。

需求增加建议：

积分吸引用户流量

烘托用户交流气氛，吸引用户流量

与外部网站合作，互相换量与吸引流量

协调有车、无车用户群体

外部链接的协调

设计建议：

有些活动需要醒目设计，像汽车之家标记为红色，更能提醒到用户

文章内部美观性可以优化

阅读与关注搜狐号流程可以优化

文章类型可以优化

运营建议：

提高市场拓展项目

警惕用户流失问题

活动吸引用户

以上谨代表个人观点。

汽车软件客户端的安全防护措施有哪些？

我认为，汽车软件客户端的安全防护措施主要有以下几点：

1.客户端安全防护

移动应用往往基于通用架构进行开发设计，安全逆向技术成熟，常成为攻击者进行协议分析和发起网络攻击的突破口。在应用正式发布之前，对主配文件Android Manifest.xml进行合理地配置，关闭Debuggable、allowBackup属性，同时关闭不需要与外界进行数据交互组件的exported属性，防止因为不合理地配置，造成移动应用安全风险。

同时，与国内外专业安全公司开展合作，通过代码混淆、字符串加密、变量名数字化、反调试等方式对车联网移动APP进行安全加固，防止移动应用被恶意破解、二次打包、逆向分析等。此外，在应用发布之前，邀请安全团队对车联网移动APP开展安全渗透测试，寻找漏洞并进行修复，借助安全厂商的力量提升车联网移动APP的安全。

2.通信安全防护

车联网环境中的车辆不再是一个独立的机械个体，而是借助各种通信手段和对外接口实现与外部终端进行数据交互。因此保证车联网移动APP自身安全以及提供安全可靠的对外通信策略对车辆与外部终端的连接和通信安全至关重要。

在车联网移动APP与TSP服务平台通信的过程中，使用HTTPS的安全通信协议，增加攻击者窃听破解的难度，同时使用基于公钥架构(Public Key Infrastructure,PKI)[5]的身份认证机制在每次通信时对车联网移动APP与TSP服务平台进行双向认证，保证通信双方的合法性。此外，在通信的过程中对关键数据流量进行加密处理，防止中间人攻击和重放攻击。

3. 数据安全防护

车联网移动APP在使用的过程中，会在本地手机端存储部分用户敏感信息，例如手机号、登录密码、车辆Vin码等。采用加密的方式对移动端的文件、数据库等多种格式数据内容进行安全存储，以免数据在移动终端存储不当造成数据泄露。同时，防止密钥被泄露，避免将密钥硬编码到代码中，采用密钥分散技术和白盒密钥加密技术，提高密钥的安全性。

4.业务安全防护

开发者应遵循移动应用的安全开发流程以及安全开发规范，将安全意识融入到软件开发生命周期的每个阶段。同时，开发人员应积极参加软件安全开发生命周期(S-SDLC)[6-7]培训，强化开发者的安全开发意识，严格按照安全开发规范进行开发。

为辰信安：为智能汽车网络安全保驾护航

在智能汽车领域 近 期陆续举办的世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛、第二届中国国际汽车以太网峰会、第八届国际智能网联汽车技术年会和SAE2021国际汽车安全与测试大会一系列活动中，“网络安全”成为了普遍关注的话题。

方滨兴院士在世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛做主旨报告

作为专注于智能汽车网络安全的专业公司，为辰信安在上述会议中分别就智能汽车网络安全防护、网络安全测试工具、汽车靶场等方面的内容进行了技术交流与产品展示，受到业界广泛关注。同时，为辰信安承研的汽车靶场也在2021CVVD首届车联网漏洞挖掘赛中得到应用，成为大赛的特别技术支撑单位。此外，为辰信安还参加了中国信息通信研究院车联网安全成果发布暨车联网网络安全专班第三次工作组公开会议，就OTA升级方面的网络安全问题进行了探讨。

随着行业标准、法规和准入要求的陆续推出，智能汽车网络安全进入快速发展的新阶段，网络安全测试也面临着新的要求。即将发布的ISO21434，在验证与确认阶段都明确了对网络安全测试的需求；WP29在2021年1月发布的智能汽车网络安全法规，批准机构和OEM厂商都需要对具体的车辆开展网络安全测试工作。此外，2021年4月，工信部开始公开征求对《智能网联汽车生产企业及产品准入管理指南（试行）》（征求意见稿）的意见。其中也明确了对车辆网络安全测试的七条要求。

第八届国际智能网联汽车技术年会

为辰信安推出的智能汽车网络安全测试工具deCORE TSTR能够全面满足现有标准、法规和准入关于网络安全测试的要求，能够有效支持符合 性 测试和渗透测试，覆盖零部件、网络通信、关键业务、整车、路边单元、充电桩、手机App和后端 平 台等方面 的 测试对象，可用于检测机构、OEM厂商、各种示范区/先导区、高校等建立智能汽车网络安全测评实验室。

deCORE TSTR可面向检测机构、OEM厂商、示范区/先导区、高校等建立汽车网络安全测评实验室

deCORE TSTR拥有实现标准符合 性 测试的全系列工作。结合GB17691-2018（重型柴油车污染物排放限值及测量方法）的实施，deCORE TSTR所包含的相关网络安全测试工具已经在各个检测机构得到实际应用，为标准实施提供了保障。此外，也拥有满足整车网络安全和OTA测试需求的工具体系，满足即将出台的相关国标在网络安全方面的测试要求。

此外，deCORE TSTR还可与网络靶场系统结合，全面提升网络安全测试的效率、模式，形成完善的护车体系。截至目前，汽车靶场已经在首届智能汽车网络安全 竞技 大赛和2021CVVD首届车联网漏洞挖掘赛等赛事中得到重要应用，在面向智能汽车的攻防演练、众测与人才培养中体现了无可比拟的发展优势。

2021CVVD首届车联网漏洞挖掘赛基于汽车靶场开展竞赛活动

为辰信安的工具体系内容完备、成熟可靠，得到大量实际应用。同时，综合安全咨询、渗透测试，以及网络安全防护方案等方面的综合能力，为辰信安提供的测试工具优势明显，在满足法规、标准、准入要求，以及渗透测试和人才培养等方面具有广阔的应用前景。

智能汽车网络安全已经受到业界的高度重视。从 政府 监管、行业评价到智能汽车相关产业链，都迫切需要建立完善的网络安全测试体系，在满足标准、法规与准入等方面要求的同时，提升智能汽车防护水 平 ，抵御黑客攻击，为软件定义汽车保驾护航。 @2019