無人“獨善其身” 智能車聯(lián)App安全測試
測試結果展示
本期參與測試的7款手機App及版本分別為本田DVR Link V1.2.6、Tesla V3.10.0-382、奔馳藍牙鑰匙V1.3,、本田Hondash V1.4.0、雪佛蘭MyChevy V6.0.0、現(xiàn)代BlueLink V2.46,、福特派V3.6.0。測試分析基于安卓系統(tǒng)環(huán)境以及上述版本號的APK文件,。
● 廣播測試
● 證書測試
這是一件非�,?膳碌氖虑椋宰C書的安全性,、唯一性都是非常重要的,。一般好的云端會定期更新內含密鑰和公鑰的CA(數(shù)字證書),更新的過程需要嚴格的認證體系,,主要依靠用戶的專門設備,、用戶ID以及密鑰,同時也帶來文件安全的高加密要求,。
實際上這是一種先進的做法,,但風險是要提示用戶在使用前完成初始化證書配對認證,如果沒有這個過程,,就意味著沒有做預制認證,,后續(xù)的認證過程都可能存在被復刻的風險。
● 本地和信息文件測試
其中最危險的是密鑰被找到并替換,。在文件和信息的疑似API密鑰測試中,,福特派和雪弗蘭MyChevy警告數(shù)分別為177和107個,,這部分的風險需要單獨解釋一下。
好的加密函數(shù)會用動態(tài)密碼等方法去保護密鑰信息,,也就是利用動態(tài)白盒,。白盒工具本身的價格不低,且只針對C語言有效,,有一定的成本和技術門檻,,是否使用類似的技術,也一定程度上區(qū)分了軟件本身對于密鑰等文件信息的保護能力,。當然,,像我們常見的支付寶、微信支付等對安全要求更高的軟件還會跟手機公司簽約預制TEE(可信運行空間),,跟手機里的安全芯片做配對綁定,,這是更加安全的一種做法,但在汽車網(wǎng)聯(lián)控制App領域,,目前還沒有人這么做,。
● 通用測試
● 網(wǎng)頁和其它測試
總結
第一批測試的App共有15款,其中7款來自六款海外汽車品牌,,另外8款全部來自中國汽車品牌手機車聯(lián)App,。在參測的App中,海外品牌App漏洞和警告數(shù)整體偏少,,本文7款App中漏洞和警告總數(shù)最多的福特派如果放到第一批測試App總榜中也僅排到漏洞和警告數(shù)第五名,,海外品牌整體安全性表現(xiàn)優(yōu)于中國品牌,當然鑒于功能豐富度的區(qū)別,,這里也牽扯到“做多錯多”的問題,。(下期將為大家?guī)?款中國品牌App測試結果)
測試中出現(xiàn)的問題主要集中在本地和信息文件測試當中,這部分漏洞可能導致包括賬號密碼在內的信息泄漏等問題,,進而有可能產(chǎn)生車輛被盜等風險,,但由于行駛機構控制權限極少開放給手機App,基本不存在嚴重影響駕駛安全的風險,。
就像開篇所說,,沒有破解不了的系統(tǒng),即便是成績最好的本田Hondash,,問題也總是會存在的,,我們應當理性看待。不論成績好壞,,我們希望的是能引起廠商對App信息安全的重視,,促進廠商提高用戶信息保護能力,減少和避免用戶在使用便利功能時面臨的風險。
感謝大家看到最后,,下期我們將公布其余8款中國品牌App的信息安全測試結果,,歡迎大家持續(xù)關注汽車之家智能車聯(lián)App安全測試。在汽車之家,,一直以來都有這么一句話:關于汽車安全,,沒有一件事是小事。與君共勉,。(圖/文 汽車之家 鄭旭)
文章標簽:
互聯(lián)出行
收藏
+1
贊
+1
踩
推薦閱讀
最新文章
加載中
好評理由:
差評理由: