T_GHDQ 105-2022 移动终端控车应用软件信息安全.pdfVIP

ICS43.020

CCST40

团体标准

T/GHDQ105-2022

移动终端控车应用软件信息安全

Testingspecificationforcarcontrolmobileapplicationsecurity

2022-11-02发布2022-11-03实施

吉林省汽车电子协会发布

T/GHDQ105-2022

目次

前言III

引言V

1范围1

2规范性引用文件1

3术语和定义1

4缩略语2

5移动端应用程序安全检测3

5.1移动端安全包签名校验检测3

5.2移动端代码安全检测3

5.3应用程序加固安全检测3

5.4调试安全检测3

5.5检测App程序不可被Root的手机设备中运行3

6敏感信息安全基本技术要求检测3

6.1密钥与证书安全检测3

6.2日志安全检测4

6.3隐私、敏感信息安全检测4

6.4敏感个人信息安全检测4

7账户安全基本技术要求检测4

7.1检测移动端应用登入业务逻辑-多点登录4

7.2检测移动端登入业务逻辑-防非法手机登入4

7.3检测移动端登入业务逻辑-登入时防被窃取4

7.4检测移动端登入业务逻辑-账户窃取登入防护5

7.5检测移动端登入业务逻辑-短信验证5

7.6检测移动端登入业务逻辑-调试接口关闭5

7.7检测移动端登入业务逻辑-凭证暴力破解5

7.8检测移动端登入业务逻辑-弱token5

7.9检测移动端登入业务逻辑-凭证有效性5

7.10检测移动端注册安全5

7.11检测汽车控制指令重放攻击5

7.12检测软键盘劫持5

8检测数据通信安全基本技术要求6

8.1检测通信保密-安全协议6

8.2检测通信保密-证书有效性6

8.3检测通信保密-关键数据加密6

8.4检测通信保密-数据合法性6

9通讯安全基本技术要求检测6

9.1检测程序中断-通讯6

I

T/GHDQ105-2022

9.2程序中断-网络中断或异常检测6

10WebView客户端、小程序、公众号、等技术要求检测6

10.1WebView客户端安全6

10.2WebStorage数据泄露检测7

10.3Cookie信息泄露检测7

10.4WebSQL注入漏洞检测7

10.5集成SDK检测7

II

T/GHDQ105-2022

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国第一汽车集团有限公司智能网联开发院、启明信息技术股份有限公司联合提出。

本文件由吉林省汽车电子协会归口。

本文件由吉林省汽车电子协会组织实施。

本文件主要起草单位：启明信息技术股份有限公司、中国第一汽车集团有限公司智能网联开发院。

本文件主要起草人：蒋澈、刘磊、宋迎亮、张鸿彪、魏利、徐焕、曾宪宇、王鹏、郭彧、尤涛、孙

琦、禹晶晶、陈明。