[汽車之家 互聯(lián)出行]　　在汽車網(wǎng)聯(lián)化的“大時(shí)代”,，我們有幸見(jiàn)證了群星閃耀的夜空,。不同于130多年前那片屬于西方的天空,，今天,，不管是汽車電動(dòng)化還是智能化，最亮的幾顆星都被染上了紅色,。而正如工業(yè)革命背后的污染和勞工壓榨問(wèn)題,、“肥宅快樂(lè)水”和膨化食品背后的肥胖問(wèn)題、伴隨“因特網(wǎng)”出現(xiàn)的病毒等等,，每一項(xiàng)新事物的出現(xiàn)都與問(wèn)題和風(fēng)險(xiǎn)相伴,。

　　我們想知道，在汽車網(wǎng)聯(lián)化的背后,，可能隱藏著哪些涉及我們車主隱私,、信息安全的風(fēng)險(xiǎn)隱患，應(yīng)該引起車主以及車企的重視,。

　　《康熙王朝》里,，古稀之年的康熙在千叟宴上：“這第三碗酒啊，朕要敬給朕的死敵們,。鰲拜,，吳三桂、鄭經(jīng),、噶爾丹,，還有那個(gè)朱三太子，他們都是英雄豪杰呀,，�,。∷麄�?cè)炀土穗�,，他們逼著朕立下了這豐功偉業(yè),。朕恨他們，也敬他們,�,！币幌�話慷慨激昂，如今的智能網(wǎng)聯(lián)信息安全正如這8歲登基的小皇帝,，黑客,、漏洞就均如環(huán)伺的猛虎餓狼，但無(wú)敵人無(wú)以致強(qiáng)大,。我們希望有一天,，當(dāng)中國(guó)的“汽車信息安全”產(chǎn)業(yè)打敗強(qiáng)敵惡鬼,，自身愈發(fā)強(qiáng)大之時(shí)，豪邁地說(shuō)出那句“祝他們,，來(lái)生再世再與朕為敵吧,！”受益者將是屆時(shí)千千萬(wàn)萬(wàn)用車生活離不開(kāi)智能網(wǎng)聯(lián)的車主用戶們。

　　為了對(duì)智能網(wǎng)聯(lián)信息安全狀況有相對(duì)嚴(yán)謹(jǐn)?shù)钠饰�,，汽車之家�?span style="color:#cc0000;">JIVIC汽車信息安全實(shí)驗(yàn)室（清華大學(xué)蘇州汽車研究院和江蘇省智能網(wǎng)聯(lián)汽車創(chuàng)新中心聯(lián)合建立）合作,，希望通過(guò)科學(xué)嚴(yán)謹(jǐn)?shù)拇�碼分析測(cè)試，剖析安全隱患,。在第一階段,，我們會(huì)把視線重點(diǎn)放在汽車遠(yuǎn)程控制App，探究其背后的風(fēng)險(xiǎn)問(wèn)題,。

　　上一期我們測(cè)試了7款海外品牌汽車遠(yuǎn)程控制App,，而本期我們將帶來(lái)7款中國(guó)品牌以及1款第三方汽車遠(yuǎn)程控制App的測(cè)試結(jié)果，根據(jù)咱們用戶的反饋,，我們也優(yōu)化了展現(xiàn)形式,，希望能夠提供更通俗的解讀和更明確的參考。

App信息安全測(cè)試背景

　　測(cè)試基于安卓手機(jī)系統(tǒng)環(huán)境,，原因有二,，其一由于蘋果iOS系統(tǒng)的App Store商店本身有自己的檢驗(yàn)流程，對(duì)安全性已經(jīng)有了一定程度的把關(guān),。其二由于軟件包形式的問(wèn)題,，測(cè)試iOS版本應(yīng)用需要廠商送測(cè)，故我們利用APK軟件包在安卓環(huán)境下進(jìn)行測(cè)試,。

受測(cè)App概覽

　　本期我們測(cè)試了5個(gè)汽車品牌的7款遠(yuǎn)程控制App以及1款第三方智能車聯(lián)App,，分別為比亞迪云服務(wù)V4.6.1、寶駿新能源V2.3.26,、蔚來(lái)V3.10.4,、藍(lán)牙鑰匙（比亞迪）、吉利V2.9.1.1515,、寶駿730手機(jī)互聯(lián)V3.0.17,、啟辰智聯(lián)V2.0.8以及智駕行V6.1.8 yesway.mobile，我們來(lái)一起看看這幾款A(yù)pp,。

　　受測(cè)App簡(jiǎn)介中的圖片部分來(lái)源于應(yīng)用商城簡(jiǎn)介,、過(guò)去測(cè)試文章等渠道，并不一定完全符合實(shí)際受測(cè)版本的界面或功能,，只用作給各位簡(jiǎn)單介紹App用途,。下面我們分成廣播、證書(shū)、文件,、描述文件,、通用、WebView幾個(gè)大項(xiàng)測(cè)試這些App中分別有多少疑似風(fēng)險(xiǎn)漏洞項(xiàng)目,。

測(cè)試和成績(jī)

　　首先要進(jìn)行兩點(diǎn)說(shuō)明：

　　1,、JIVIC實(shí)驗(yàn)室測(cè)試的疑似風(fēng)險(xiǎn)漏洞結(jié)果是基于代碼分析，并非我們常見(jiàn)的已知風(fēng)險(xiǎn)漏洞（即已經(jīng)有黑客或測(cè)試人員證實(shí)能利用這些漏洞對(duì)目標(biāo)進(jìn)行攻擊）,，本文中的漏洞是指可能存在有疑似漏洞的代碼和程序設(shè)計(jì),，有被黑客利用并造成不同程度危害的風(fēng)險(xiǎn)。

　　2,、沒(méi)有不能被攻破的系統(tǒng),，只有是否足夠誘人的利益。但凡是程序皆存在漏洞,，我們希望的是引起用戶和行業(yè)的重視，盡可能地去激勵(lì)主機(jī)廠去提高安全門檻,，保護(hù)用戶信息安全和隱私,。而面對(duì)這些數(shù)字，我們消費(fèi)者也不用過(guò)度擔(dān)憂,。在大多數(shù)情況下,，我們并不值得別人煞費(fèi)苦心。

　　這是一件非�,？膳碌氖虑�,，所以證書(shū)的安全性、唯一性都是非常重要的,。一般好的云端會(huì)定期更新內(nèi)含密鑰和公鑰的CA（數(shù)字證書(shū)）,，更新的過(guò)程需要嚴(yán)格的認(rèn)證體系，主要依靠用戶的專門設(shè)備,、用戶ID以及密鑰,，同時(shí)也帶來(lái)文件安全的高加密要求。

　　我們將疑似風(fēng)險(xiǎn)漏洞分成四個(gè)等級(jí),，從高到低分別為“嚴(yán)重”,、“高”、“中”和“低”,，前兩者可能造成的危害要遠(yuǎn)高于后兩者,。在下圖問(wèn)題漏洞總數(shù)中我們用對(duì)應(yīng)顏色的色塊為大家標(biāo)出了風(fēng)險(xiǎn)等級(jí)。

總結(jié)

　　成績(jī)上,，最終比亞迪的兩款A(yù)pp表現(xiàn)最佳,，“藍(lán)牙鑰匙”一程度上得益于功能簡(jiǎn)單，而比亞迪云服務(wù)的優(yōu)秀成績(jī)則多少能側(cè)面體現(xiàn)比亞迪多年的安卓系統(tǒng)開(kāi)發(fā)功底,，使得看似“開(kāi)源”且“激進(jìn)”的App程序安全性卻出人意料的好,。同樣表現(xiàn)不錯(cuò)的還有啟晨智聯(lián)和寶駿新能源,。寶駿730手機(jī)互聯(lián)、吉利GNetLink和智駕行則出現(xiàn)了等級(jí)“嚴(yán)重”的疑似風(fēng)險(xiǎn)漏洞,，值得引起注意,。

　　信息安全是一場(chǎng)沒(méi)有硝煙的戰(zhàn)爭(zhēng)，這個(gè)時(shí)代沒(méi)有噶爾丹,、吳三桂,、鰲拜，但有病毒和網(wǎng)絡(luò)劫持的威脅,、隱私數(shù)據(jù)“漫天飛”的困擾,。我們能看到各家廠商們?cè)谛畔�安全上下的功夫，�?dāng)然,，“革命尚未成功,，同志還需努力”。我們也期望,，現(xiàn)有的威脅能倒逼著主機(jī)廠,，對(duì)汽車網(wǎng)絡(luò)安全愈發(fā)重視，自身也愈發(fā)強(qiáng)大,，從而惠及我們的消費(fèi)者,。（圖/文 汽車之家 鄭旭 測(cè)試數(shù)據(jù) JIVIC汽車信息安全實(shí)驗(yàn)室）