無人“獨(dú)善其身” 智能車聯(lián)App安全測試

鄭旭

2020年04月24日 07:00 原創(chuàng) 來源：汽車之家

收藏 (0條) 舉報/糾錯

測試結(jié)果展示

　　本期參與測試的7款手機(jī)App及版本分別為本田DVR Link V1.2.6、Tesla V3.10.0-382,、奔馳藍(lán)牙鑰匙V1.3,、本田Hondash V1.4.0,、雪佛蘭MyChevy V6.0.0,、現(xiàn)代BlueLink V2.46、福特派V3.6.0,。測試分析基于安卓系統(tǒng)環(huán)境以及上述版本號的APK文件,。

● 廣播測試

● 證書測試

　　這是一件非常可怕的事情,，所以證書的安全性,、唯一性都是非常重要的。一般好的云端會定期更新內(nèi)含密鑰和公鑰的CA（數(shù)字證書）,，更新的過程需要嚴(yán)格的認(rèn)證體系,，主要依靠用戶的專門設(shè)備、用戶ID以及密鑰,，同時也帶來文件安全的高加密要求,。

　　實(shí)際上這是一種先進(jìn)的做法，但風(fēng)險是要提示用戶在使用前完成初始化證書配對認(rèn)證,，如果沒有這個過程,，就意味著沒有做預(yù)制認(rèn)證，后續(xù)的認(rèn)證過程都可能存在被復(fù)刻的風(fēng)險,。

● 本地和信息文件測試

　　其中最危險的是密鑰被找到并替換,。在文件和信息的疑似API密鑰測試中，福特派和雪弗蘭MyChevy警告數(shù)分別為177和107個,，這部分的風(fēng)險需要單獨(dú)解釋一下,。

　　好的加密函數(shù)會用動態(tài)密碼等方法去保護(hù)密鑰信息，也就是利用動態(tài)白盒,。白盒工具本身的價格不低，且只針對C語言有效,，有一定的成本和技術(shù)門檻,，是否使用類似的技術(shù)，也一定程度上區(qū)分了軟件本身對于密鑰等文件信息的保護(hù)能力,。當(dāng)然,，像我們常見的支付寶、微信支付等對安全要求更高的軟件還會跟手機(jī)公司簽約預(yù)制TEE（可信運(yùn)行空間）,，跟手機(jī)里的安全芯片做配對綁定,，這是更加安全的一種做法,，但在汽車網(wǎng)聯(lián)控制App領(lǐng)域，目前還沒有人這么做,。

● 通用測試

● 網(wǎng)頁和其它測試

總結(jié)

　　第一批測試的App共有15款,，其中7款來自六款海外汽車品牌，另外8款全部來自中國汽車品牌手機(jī)車聯(lián)App,。在參測的App中,，海外品牌App漏洞和警告數(shù)整體偏少，本文7款A(yù)pp中漏洞和警告總數(shù)最多的福特派如果放到第一批測試App總榜中也僅排到漏洞和警告數(shù)第五名,，海外品牌整體安全性表現(xiàn)優(yōu)于中國品牌,，當(dāng)然鑒于功能豐富度的區(qū)別，這里也牽扯到“做多錯多”的問題,。（下期將為大家?guī)?款中國品牌App測試結(jié)果）

　　測試中出現(xiàn)的問題主要集中在本地和信息文件測試當(dāng)中,，這部分漏洞可能導(dǎo)致包括賬號密碼在內(nèi)的信息泄漏等問題，進(jìn)而有可能產(chǎn)生車輛被盜等風(fēng)險,，但由于行駛機(jī)構(gòu)控制權(quán)限極少開放給手機(jī)App,，基本不存在嚴(yán)重影響駕駛安全的風(fēng)險。

　　就像開篇所說,，沒有破解不了的系統(tǒng),，即便是成績最好的本田Hondash，問題也總是會存在的,，我們應(yīng)當(dāng)理性看待,。不論成績好壞，我們希望的是能引起廠商對App信息安全的重視,，促進(jìn)廠商提高用戶信息保護(hù)能力,，減少和避免用戶在使用便利功能時面臨的風(fēng)險。

　　感謝大家看到最后,，下期我們將公布其余8款中國品牌App的信息安全測試結(jié)果,，歡迎大家持續(xù)關(guān)注汽車之家智能車聯(lián)App安全測試。在汽車之家,，一直以來都有這么一句話：關(guān)于汽車安全,，沒有一件事是小事。與君共勉,。（圖/文汽車之家鄭旭）