IVI Security Checklist
2022-04-14 12:25:14 10 举报AI智能生成
IVI安全测试项
作者其他创作
大纲/内容
可启用调试接口
存在后门或隐蔽接口
关键芯片管脚暴露
电路板及芯片存在可读丝印且含有敏感信息
硬件安全
禁止 ROOT 用户直接登录
debug调试模式开启
口令复杂度检测
访问控制机制检测
禁止不必要的服务(端口、命令、服务)
工程模式检测
非授权的远程接入检测
操作系统安全配置
通信类功能受控机制检测(拨打电话、三方电话、发送短信、发送彩信、发送邮件、移动通信网络连接、WLAN 网络连接)
本地敏感功能受控机制(定位功能、通话录音功能、本地录音功能、对用户数据的操作)
安全调用控制能力
操作系统安全启动检测
操作系统安全启动
系统降级、更新中断检测、更新包的完整性和来源可靠性检测
操作系统更新
操作系统隔离检测
操作系统隔离
实时环境进行监控告警检测
清理内存、存储垃圾等功能检测
审计功能检测(开启设计功能、对重要事件进行日记记录、日志备份上传、日志权限控制)
已知漏洞检测
敏感权限检测
操作系统安全管理
操作系统安全
后门或隐蔽接口检测
通信接口最小化授权检测
总体要求
车外通信接口安全检测
车外通信接口安全
车内通信接口安全检测
车内通信接口安全
通信接口安全
固件提取
固件逆向分析
固件更新
加密算法分析
密钥硬编码
代码合规性检测
固件安全
数据采集安全检测
数据采集
数据存储安全检测
数据存储
数据传输安全检测
数据传输
数据销毁
数据安全
Classes.dex文件代码加密混淆保护
So文件代码加密混淆保护
敏感文件加密保护
文件完整性校验
硬编码安全
使用不安全的加密算法
debug调试属性未关闭
allowBackup备份安全
应用权限测试
Activity 界面劫持
客户端程序安全
Activity组件安全
Service组件安全
Broadcast Receiver组件安全
Content Provider组件安全
组件安全
Shared_Prefs敏感信息保护
本地数据库明文存储敏感信息
Log日志打印敏感信息
使用自带安全软键盘完成敏感输入
敏感界面截屏和录屏保护
应用后台运行模糊处理保护
ROOT环境检测
模拟器环境检测
应用安全规范
密码复杂度检测
单点登录限制
账号锁定策略检测
UI信息泄露
验证码安全
安全注销
双因子认证检测
手势密码绕过
手势密码本地信息保存
账号安全
通信协议检测
证书有效性检测
关键数据加密和校验
通信安全
SQL注入
XSS跨站脚本攻击
任意文件上传
弱口令漏洞
越权访问
短信轰炸
业务安全
应用软件安全
通信连接安全
通信传输安全(加密传输)
通信连接终止安全
对外通信协议安全
公有远程通信协议安全
私有远程通信协议安全
远程通信协议安全
短距离通信口令应用安全
蓝牙配置模式检测
蓝牙鉴权检测
对外部设备进行认证检测
蓝牙通信加密检测
车载蓝牙通信协议安全
WLAN安全检测
车载 WLAN 通信协议安全
蜂窝网络安全检测
蜂窝网络
内部通信安全
通信协议安全
《车载信息交互系统信息安全技术要求 征求意见稿》http://www.catarc.org.cn/upload/202004/30/202004301615508004.pdf
IVI Security Checklist
0 条评论
下一页
