(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111566107.9 (22)申请日 2021.12.20 (71)申请人 国汽 （北京） 智能网联汽车研究院有 限公司 地址 100176 北京市大兴区亦庄经济技 术 开发区荣华南路13号院7号楼1-4层 101 (72)发明人 王童　罗承刚　刘永星　刘鹏　 张浩然　寿晶晶　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 代理人 林韵英 (51)Int.Cl. G06F 21/57(2013.01) H04L 9/40(2022.01) (54)发明名称 一种智能网联汽车APP渗透测试方法、 系统 及存储介质 (57)摘要 本发明公开了一种智能网联汽 车APP渗透测 试方法、 系统及存储介质， 该方法包括： 获取智能 网联汽车中的固件； 对固件进行扫描， 得到固件 中的APK文件； 对APK文件进行脱壳， 得到原始文 件； 对原始文件进行静态扫描， 得到静态评估结 果。 通过实施本发明， 通过对固件扫描提取得到 固件中的APK文件， 经过对APK文件的脱壳确定原 始文件， 对原始文件进行静态扫描即可实现对智 能网联汽车APP的渗透测试， 解决了现有技术中 汽车APP人工测试繁琐复杂， 固件难以分析等问 题， 为进行自动化远程渗透测试创造了条件， 方 便测试人员使用； 同时该渗透测试方法为汽车 APP渗透测试提供了很好的指导作用， 可有效推 动汽车行业APP渗透测试 水平的提升 。 权利要求书2页 说明书7页 附图3页 CN 114238987 A 2022.03.25 CN 114238987 A 1.一种智能网联汽车AP P渗透测试 方法， 其特 征在于， 包括： 获取智能网联汽车中的固件； 对所述固件进行扫描， 得到所述固件中的APK文件； 对所述APK文件进行脱壳， 得到原 始文件； 对所述原 始文件进行静态扫描， 得到静态评估结果。 2.根据权利要求1所述的智能网联汽车AP P渗透测试 方法， 其特 征在于， 还 包括： 抓取控车AP P上的数据包： 根据所述数据包进行AP P控车扫描， 得到控车扫描结果。 3.根据权利要求1所述的智能网联汽车AP P渗透测试 方法， 其特 征在于， 对所述固件进行扫描， 包括： 对所述固件中的预设目录进行扫描以及对所述固件进行全盘扫描； 对所述固件进行扫描， 还 包括： 对所述固件进行解析、 切割以及反编译。 4.根据权利要求1所述的智能网联汽车APP渗透测试方法， 其特征在于， 对所述原始文 件进行静态扫描， 得到静态评估结果， 包括： 对所述原 始文件进行反编译， 得到配置文件、 资源文件、 签名文件以及代码文件； 将所述配置文件、 资源文件、 签名文件以及代码文件分别与静态漏洞库中的漏洞规则 匹配， 进行源码安全评估， 客户端安全评估， 数据安全评估， 动态链接库安全评估， 得到静态 评估结果。 5.根据权利要求4所述的智能网联汽车APP渗透测试方法， 其特征在于， 对所述原始文 件进行静态扫描， 得到静态评估结果， 还 包括： 对所述原 始文件中的JA VA代码以及SO动态 链接库进行反编译风险测试； 对所述原 始文件中的敏感关键词进行硬编码测试； 对所述原 始文件中的预设组件进行安全测试； 对所述原 始文件中的本地文件进行Drozer测试； 对所述原 始文件中的数据存在的漏洞进行测试； 对所述原 始文件中的动态 链接库进行安全评估。 6.根据权利要求2所述的智能网联汽车APP渗透测试方法， 其特征在于， 根据所述数据 包进行AP P控车扫描， 得到控车扫描结果， 包括： 解密所述数据包中的HT TPS流量； 将解密的HT TPS流量进行HT TPS安全测试； 将解密的HT TPS流量进行TS P测试； 抓取所述数据包中的敏感关键词数据， 对所述敏感关键 字数据进行重放 攻击； 对APP客户端进行动态安全测试。 7.根据权利要求1所述的智能网联汽车APP渗透测试方法， 其特征在于， 对所述固件进 行扫描之前， 还 包括： 对所述固件进行缓冲区溢出， 堆栈溢出， 整数溢出的漏洞检测。 8.一种智能网联汽车APP渗透测试系统， 其特征在于， 包括： 测试终端， 所述测试终端包 括：权　利　要　求　书 1/2 页 2 CN 114238987 A 2固件获取模块， 用于获取智能网联汽车中的固件； 扫描模块， 用于对所述固件进行扫描， 得到所述固件中的APK文件； 脱壳模块， 用于对所述APK文件进行脱壳， 得到原 始文件； 评估模块， 用于对所述原 始文件进行静态扫描， 得到静态评估结果。 9.根据权利要求8所述的智能网联汽车APP渗透测试系统， 其特征在于， 还包括： 服务器 终端和云端， 所述服务器终端连接所述测试终端， 用于对静态漏洞库中的漏洞规则进行管 理， 所述云端分别和所述 服务器终端和所述测试终端连接 。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机指 令， 所述计算机指令用于使所述计算机执行如权利要求1－7任一项所述的智能网联汽车 APP渗透测试 方法。权　利　要　求　书 2/2 页 3 CN 114238987 A 3