Baixe o resumo da solução

Veículos conectados são comuns

Os veículos conectados estão agora disponíveis na maioria dos fabricantes. As pesquisas mais recentes estimam que o mercado global de automóveis conectados aumentará 40% entre 2016 e 2021. Ótimo para os consumidores, mas do ponto de vista da segurança, este aumento na conectividade representa uma superfície de ataque crescente.

Utilizar um aplicativo para interagir com um carro conectado está se tornando tão onipresente quanto uma chave de metal. Infelizmente, essa conveniência tem um preço: aplicativos baixados de lojas de aplicativos públicas são alvos fáceis para malfeitores.

Novas ameaças exigem novas soluções

Embora o Centro de Análise e Compartilhamento de Informações Automotivas do setor esteja desenvolvendo melhores práticas para segurança de carros conectados, eles não prescrevem soluções técnicas ou organizacionais específicas. Embora um conjunto de práticas recomendadas do setor seja um bom primeiro passo, essas diretrizes de alto nível não são requisitos e levam tempo para serem implementadas.

Para enfrentar as graves ameaças que os carros conectados enfrentam atualmente, os fabricantes de automóveis e as empresas de automóveis comerciais devem reconsiderar a sua abordagem à segurança das aplicações.

Gráfico de nuvem automotiva

Protegendo um alvo em movimento

Os aplicativos de carros conectados são tão vulneráveis ​​a ataques quanto qualquer outro aplicativo baixado de uma loja de aplicativos pública. Sem proteção de código, os aplicativos automotivos conectados podem facilmente sofrer engenharia reversa para roubar código, propriedade intelectual, informações de identificação pessoal (PII) ou fornecer aos cibercriminosos uma maneira de se comunicarem com sistemas de back office. Se a integração entre um aplicativo de smartphone e a Interface Homem-Máquina (HMI) de um veículo conectado for comprometida, ele poderá ser usado como uma porta de entrada para tudo que estiver conectado eletronicamente dentro e fora do carro conectado.

Uma vez comprometido, um aplicativo pode fornecer acesso aos controles do veículo, incluindo fechaduras e ignição, reconhecimento de voz, botões do painel, navegação e, em casos extremos, aceleradores controlados por computador, direção, frenagem e outras operações autônomas do veículo. As aplicações violadas geram o controle de serviços externos, como infoentretenimento, seguros e contas bancárias, que podem então ser explorados para fraudes subsequentes.

A proteção em nível de aplicativo móvel é crítica

Os atacantes variam de lobos solitários a estados-nação – todos com motivos variados, mas todos compartilham algumas características comuns: são implacáveis ​​e estão sempre evoluindo seus métodos de ataque. O potencial de perda é alto: reputação comercial, marca, perda financeira e, o mais importante, perda do cliente. safety.

As melhores práticas de codificação e as proteções de software tradicionais não podem fornecer proteção adequada contra determinados malfeitores que empregam engenharia reversa métodos para atacar aplicativos. O que é necessário para proteger os aplicativos móveis automotivos conectados de hoje é uma abordagem em camadas que possa proteger o código do aplicativo contra ataques de engenharia reversa e ser aplicada durante o DevSecOps processo sem interferir nos ciclos de construção. Essas camadas devem incluir:

  • Ofuscação de código: Ofuscação de código oculta deliberadamente o código do aplicativo, dificultando a decifração e a engenharia reversa dos invasores
  • Autodefesa e preservação da integridade: Medidas defensivas automatizadas acionadas por alterações detectadas durante a execução do tempo de execução podem invocar o autorreparo do código ou o encerramento da funcionalidade do aplicativo.
  • Detecção de ameaças e ciclo de feedback: A detecção e a resposta são essenciais para impedir ataques a aplicativos. Os dados de ameaças em tempo real podem servir como um aviso antecipado de ataques em andamento, notificando a empresa sobre dispositivos comprometidos, metodologias de ataque e geolocalização do invasor. Os dados de ameaças podem então ser utilizados em ciclos de feedback de desenvolvimento para que a proteção dos aplicativos possa ser revisada e os aplicativos atualizados sejam publicados conforme necessário para impedir ataques.

Digital.ai Soluções de proteção de aplicativos (anteriormente Arxan)

Digital.ai Proteção de aplicativos para Android — proteção do código do aplicativo e detecção de ameaças contra engenharia reversa e adulteração para aplicativos Java e Kotlin.

Digital.ai Proteção de aplicativos para iOS — fornecendo proteção de aplicativos e detecção de ameaças para todos os principais aplicativos de linguagem de desenvolvimento iOS.

Digital.ai Proteção de aplicativo para híbrido — protegendo todos os componentes de aplicativos projetados para serem executados em iOS e Android, alertando sobre ataques de código em andamento em dispositivos comprometidos.

Digital.ai Soluções de proteção de aplicativos (anteriormente Arxan)

PROTEGER: Segurança abrangente em nível de código

Injeta proteções essenciais de código de aplicativo e sensores de detecção de ameaças em CI / CD ciclo após o desenvolvimento do código, sem interromper DevSecOps processos

Ofusca o código-fonte, insere honeypots e implementa outros padrões de código enganosos para deter e confundir os agentes de ameaças

Aciona medidas defensivas automaticamente se atividades suspeitas forem detectadas, incluindo desligamento do aplicativo, sandbox do usuário ou autorreparo do código

ALERTA: Dados de ameaças em tempo real

Notifica as organizações sobre a reputação de aplicativos, ataques em tempo real e oferece a capacidade de suspender contas ou intensificar transações ou autenticação de acesso

Os insights ajudam a otimizar e adaptar a proteção com base em insights e tendências de ataques, incluindo como, quando, onde e por quem o aplicativo é direcionado

Fornece feeds de dados de ameaças de ponta a ponta, tornando os dados de ameaças acessíveis por meio de um navegador ou fácil integração com SIEM, BI e plataformas de prevenção de fraude existentes

CRIPTOGRAFIA: Proteção de chaves e dados

Criptografa chaves estáticas ou dinâmicas e dados incorporados ou contidos no código do aplicativo

Protege dados confidenciais em repouso em um aplicativo ou em trânsito entre o aplicativo e o servidor

Suporta todos os principais algoritmos e modos criptográficos com certificação FIPS 140-2

Sobre Digital.ai

Digital.ai é uma empresa de tecnologia líder do setor dedicada a ajudar empresas globais 5000 a atingir metas de transformação digital. A tecnologia de inteligência artificial da empresa DevSecOps plataforma unifica, protege e gera insights preditivos em todo o ciclo de vida do software. Digital.ai capacita as organizações a dimensionar equipes de desenvolvimento de software, fornecer continuamente software com maior qualidade e segurança, ao mesmo tempo em que descobre novas oportunidades de mercado e aumenta o valor comercial por meio de investimentos em software mais inteligentes.

Informações adicionais sobre Digital.ai pode ser encontrada em digital.ai e na Twitter, LinkedIn e Facebook.

Saiba mais em Digital.ai Application Security

Plataforma

Quer continuar explorando outros recursos?

Voltar para Recursos

Relacionado

Recursos relacionados

Estudo de caso da Leadcomm
Estudos de Caso

Banco brasileiro economiza milhões e reduz riscos criando aplicativos móveis Safer para clientes

Saber Mais​
Forneça aplicativos móveis seguros e de qualidade
Overview da Solução

Forneça aplicativos móveis seguros e de qualidade

Saber Mais​
Digital.ai Demonstração com reconhecimento de aplicativo
Demonstrações de produtos

Digital.ai Demonstração com reconhecimento de aplicativo

Saber Mais​