主流海外品牌 手機(jī)車聯(lián)App信息安全測(cè)試
代碼分析結(jié)果和解讀
這個(gè)項(xiàng)目上,我們沒有和任何一家車企進(jìn)行合作,,而是直接將適用于安卓系統(tǒng)的APK軟件包交給有一定權(quán)威性的第三方測(cè)試機(jī)構(gòu)進(jìn)行代碼分析,,由于測(cè)試時(shí)間有一定延遲,故測(cè)試結(jié)論只適用于安卓版手機(jī)App,,只針對(duì)文中標(biāo)明的軟件版本,。理論上iPhone版App由于Apple官方自己的安全性檢測(cè),軟件安全性可能會(huì)相對(duì)更好一點(diǎn),。以下是代碼測(cè)試結(jié)果和一些簡(jiǎn)單的解讀,。
上汽通用別克的iBuck代碼分析成績(jī)最佳,幾乎拿到滿分,。整個(gè)測(cè)試中,,只有1項(xiàng)問題,無風(fēng)險(xiǎn)漏洞。簡(jiǎn)單來說,,“問題”是指App代碼中相對(duì)不合理的地方,“風(fēng)險(xiǎn)漏洞”則可以被他人利用,,依據(jù)風(fēng)險(xiǎn)程度,,可能會(huì)竊取個(gè)人信息甚至對(duì)車輛進(jìn)行解鎖和控制。
iBuck唯一的問題出現(xiàn)在文件(Document)測(cè)試上,,這部分問題是指儲(chǔ)存在設(shè)備中的文件沒有得到很好的加密和保護(hù),,他人可能竊取這部分文件,替換,、修改甚至逆向,。特別是密鑰信息,竊取密鑰信息就相當(dāng)于得到了你的賬號(hào)密碼,。
東風(fēng)Honda_link成績(jī)?yōu)?6分,,排名第二,測(cè)試中共發(fā)現(xiàn)5項(xiàng)問題,,無風(fēng)險(xiǎn)漏洞,。除了1項(xiàng)文件測(cè)試問題外,還包括4項(xiàng)描述文件(Information)問題,。
描述文件問題是指被發(fā)送出去的信息存在安全風(fēng)險(xiǎn),,和本地文件一樣,如果這些信息被截取,,意味著存在信息安全風(fēng)險(xiǎn),。與此同時(shí),在風(fēng)險(xiǎn)等級(jí)占比上,,東風(fēng)Honda_link達(dá)到警告級(jí)別的問題有三個(gè),。
一汽大眾、日產(chǎn)智聯(lián),、東風(fēng)標(biāo)致智行和東風(fēng)雪鐵龍智行成績(jī)一致,,拿到95.5分。他們的風(fēng)險(xiǎn)和問題數(shù)量也完全一致,,均為6項(xiàng)問題,,其中包含5個(gè)描述文件問題和1個(gè)文件問題,無風(fēng)險(xiǎn)漏洞,,達(dá)到警告級(jí)別的問題有三個(gè),。
廣汽三菱的菱行得到95分,和前者四款A(yù)pp相比,,菱行達(dá)到警告級(jí)別的問題數(shù)量為4個(gè),,所以成績(jī)略低了0.5分。下面的幾位成績(jī)就是在90分以下了。
上汽大眾App存在15項(xiàng)問題,,除了前面提到描述文件和文件測(cè)試外,,出現(xiàn)1項(xiàng)廣播測(cè)試(Broadcast)和2項(xiàng)網(wǎng)頁瀏覽測(cè)試(Webview)問題。
廣播問題和漏洞會(huì)給假云端服務(wù)器可乘之機(jī),,導(dǎo)致我們的軟件被遠(yuǎn)程控制或被木馬程序利用,,被控制的軟件可能會(huì)持續(xù)發(fā)信息給云端,阻斷我們通過服務(wù)器獲取正常服務(wù)的途徑,。網(wǎng)頁瀏覽功能出現(xiàn)漏洞則會(huì)影響我們查看網(wǎng)頁時(shí)的安全性,,代碼測(cè)試內(nèi)容會(huì)包含網(wǎng)頁訪問權(quán)限、范圍以及對(duì)用戶信息的驗(yàn)證等等,。
馬自達(dá)的My Mazda以及一汽豐田App在測(cè)試中分別拿到86分和85.5分,,My Mazda在證書測(cè)試(Qualification)中出現(xiàn)了問題,通常證書的認(rèn)證體系會(huì)依據(jù)你的常用設(shè)備,、用戶ID以及密鑰進(jìn)行判別,,軟件證書如果有被篡改或復(fù)制的風(fēng)險(xiǎn),意味著你的身份信息可能會(huì)被不法分子冒用,。
本篇總結(jié)
以上就是十款海外品牌車聯(lián)網(wǎng)手機(jī)App的代碼測(cè)試結(jié)果,。回到測(cè)試結(jié)果,,我們很高興地看到任何一家車企的手機(jī)App都沒有出現(xiàn)風(fēng)險(xiǎn)漏洞,,僅存在代碼問題,實(shí)際被黑客和不法分子攻擊的可能性較小,。而最終的成績(jī)我們也應(yīng)該辯證的看待,,首先,“做多錯(cuò)多”,,舉個(gè)很簡(jiǎn)單的例子,,有網(wǎng)頁瀏覽功能的App才可能存在網(wǎng)頁瀏覽代碼問題,十款軟件功能繁復(fù)程度各異,,測(cè)試采用依據(jù)代碼問題數(shù)量及風(fēng)險(xiǎn)程度扣分的機(jī)制,,功能繁多的App自然吃點(diǎn)虧。當(dāng)然,,作為消費(fèi)者,,我們還是希望車企在提供更多便捷服務(wù)的同時(shí),也能最大程度上保障車主個(gè)人隱私和信息的安全,。(圖/文 汽車之家 鄭旭)
文章標(biāo)簽:
互聯(lián)出行
收藏
+1
贊
+1
踩
推薦閱讀
最新文章
加載中
好評(píng)理由:
差評(píng)理由: