[汽車之家 互聯(lián)出行]  作為最懂你的“人”,，手機(jī)隱私安全問(wèn)題在這幾年,，時(shí)不時(shí)就會(huì)爆雷一次。我們的賬號(hào),、密碼甚至小秘密都存放在手機(jī)里,，一旦“被黑”，造成的損失和影響可能是巨大的,。

　　在汽車進(jìn)入網(wǎng)聯(lián)化時(shí)代之后,，各家主機(jī)廠也都相繼開(kāi)發(fā)了自己的手機(jī)App用于車輛信息查詢、遠(yuǎn)程控制和社群運(yùn)營(yíng)等,。我們《車聯(lián)網(wǎng)App信息安全測(cè)試》項(xiàng)目的目標(biāo)就是要探究各家車企車聯(lián)App的安全水平以及對(duì)用戶信息安全的重視程度,。

　　過(guò)去的一期我們測(cè)試了中國(guó)品牌的多款A(yù)pp應(yīng)用，本期將著眼于主流海外品牌,，看看海外品牌對(duì)信息安全的重視程度是否更高,。

　　為了探究各家App的隱私安全水平，汽車之家和第三方機(jī)構(gòu)合作,，通過(guò)嚴(yán)謹(jǐn)?shù)拇�碼分析,，查找車聯(lián)網(wǎng)手機(jī)App中可能存在的漏洞，并指出其安全隱患,。

　　個(gè)人隱私和信息安全問(wèn)題不容小覷,，希望借《車聯(lián)App信息安全測(cè)試》，能幫助消費(fèi)者督促企業(yè)加強(qiáng)對(duì)隱私安全問(wèn)題的重視,，同時(shí)也促進(jìn)車企不斷改善自身的信息安全保障水平,。

受測(cè)App成績(jī)概覽

　　本期測(cè)試的App包括iBuick 8.5.1（上汽通用別克）、My Mazda 1.0.4（一汽-馬自達(dá)）,、東風(fēng)Honda_link 1.0.1（東風(fēng)本田）,、東風(fēng)標(biāo)致智行 3.0.2（東風(fēng)標(biāo)致）、東風(fēng)雪鐵龍智行 3.0.2（東風(fēng)雪鐵龍）,、菱行 1.2.1（廣汽三菱）,、日產(chǎn)智聯(lián) 1.5.0（東風(fēng)日產(chǎn)）、上汽大眾 1.0.9,、一汽-大眾 3.0.7以及一汽-豐田 4.0.2,，共10款A(yù)pp。受測(cè)對(duì)象為安卓APK軟件包,，采用第三方機(jī)構(gòu)代碼分析的形式進(jìn)行測(cè)試,。

　　由于測(cè)試和內(nèi)容制作周期問(wèn)題，目前各家App版本都進(jìn)行了或大或小的更新，測(cè)試結(jié)果僅針對(duì)上述App版本號(hào),，且僅針對(duì)安卓手機(jī)版本,。

　　本期共涉及10個(gè)品牌超過(guò)50款車型，其中許多在銷量排行榜上位居前列甚至榜首,，我們也期望通過(guò)《車聯(lián)App信息安全測(cè)試》幫助更多消費(fèi)者了解汽車的手機(jī)App信息安全水平,。

代碼分析結(jié)果和解讀

　　這個(gè)項(xiàng)目上，我們沒(méi)有和任何一家車企進(jìn)行合作,，而是直接將適用于安卓系統(tǒng)的APK軟件包交給有一定權(quán)威性的第三方測(cè)試機(jī)構(gòu)進(jìn)行代碼分析,，由于測(cè)試時(shí)間有一定延遲，故測(cè)試結(jié)論只適用于安卓版手機(jī)App,，只針對(duì)文中標(biāo)明的軟件版本,。理論上iPhone版App由于Apple官方自己的安全性檢測(cè)，軟件安全性可能會(huì)相對(duì)更好一點(diǎn),。以下是代碼測(cè)試結(jié)果和一些簡(jiǎn)單的解讀,。

　　上汽通用別克的iBuck代碼分析成績(jī)最佳，幾乎拿到滿分,。整個(gè)測(cè)試中,，只有1項(xiàng)問(wèn)題，無(wú)風(fēng)險(xiǎn)漏洞,。簡(jiǎn)單來(lái)說(shuō),，“問(wèn)題”是指App代碼中相對(duì)不合理的地方，“風(fēng)險(xiǎn)漏洞”則可以被他人利用,，依據(jù)風(fēng)險(xiǎn)程度,，可能會(huì)竊取個(gè)人信息甚至對(duì)車輛進(jìn)行解鎖和控制。

　　iBuck唯一的問(wèn)題出現(xiàn)在文件（Document）測(cè)試上,，這部分問(wèn)題是指儲(chǔ)存在設(shè)備中的文件沒(méi)有得到很好的加密和保護(hù),，他人可能竊取這部分文件，替換,、修改甚至逆向,。特別是密鑰信息，竊取密鑰信息就相當(dāng)于得到了你的賬號(hào)密碼,。

　　東風(fēng)Honda_link成績(jī)?yōu)?6分,，排名第二，測(cè)試中共發(fā)現(xiàn)5項(xiàng)問(wèn)題,，無(wú)風(fēng)險(xiǎn)漏洞,。除了1項(xiàng)文件測(cè)試問(wèn)題外，還包括4項(xiàng)描述文件（Information）問(wèn)題,。

　　描述文件問(wèn)題是指被發(fā)送出去的信息存在安全風(fēng)險(xiǎn),，和本地文件一樣,，如果這些信息被截取，意味著存在信息安全風(fēng)險(xiǎn),。與此同時(shí),，在風(fēng)險(xiǎn)等級(jí)占比上，東風(fēng)Honda_link達(dá)到警告級(jí)別的問(wèn)題有三個(gè),。

　　一汽大眾,、日產(chǎn)智聯(lián)、東風(fēng)標(biāo)致智行和東風(fēng)雪鐵龍智行成績(jī)一致,，拿到95.5分,。他們的風(fēng)險(xiǎn)和問(wèn)題數(shù)量也完全一致，均為6項(xiàng)問(wèn)題,，其中包含5個(gè)描述文件問(wèn)題和1個(gè)文件問(wèn)題,，無(wú)風(fēng)險(xiǎn)漏洞,，達(dá)到警告級(jí)別的問(wèn)題有三個(gè),。

　　廣汽三菱的菱行得到95分，和前者四款A(yù)pp相比,，菱行達(dá)到警告級(jí)別的問(wèn)題數(shù)量為4個(gè),，所以成績(jī)略低了0.5分。下面的幾位成績(jī)就是在90分以下了,。

　　上汽大眾App存在15項(xiàng)問(wèn)題,，除了前面提到描述文件和文件測(cè)試外，出現(xiàn)1項(xiàng)廣播測(cè)試（Broadcast）和2項(xiàng)網(wǎng)頁(yè)瀏覽測(cè)試（Webview）問(wèn)題,。

　　廣播問(wèn)題和漏洞會(huì)給假云端服務(wù)器可乘之機(jī),，導(dǎo)致我們的軟件被遠(yuǎn)程控制或被木馬程序利用，被控制的軟件可能會(huì)持續(xù)發(fā)信息給云端,，阻斷我們通過(guò)服務(wù)器獲取正常服務(wù)的途徑,。網(wǎng)頁(yè)瀏覽功能出現(xiàn)漏洞則會(huì)影響我們查看網(wǎng)頁(yè)時(shí)的安全性，代碼測(cè)試內(nèi)容會(huì)包含網(wǎng)頁(yè)訪問(wèn)權(quán)限,、范圍以及對(duì)用戶信息的驗(yàn)證等等,。

　　馬自達(dá)的My Mazda以及一汽豐田App在測(cè)試中分別拿到86分和85.5分，My Mazda在證書測(cè)試（Qualification）中出現(xiàn)了問(wèn)題,，通常證書的認(rèn)證體系會(huì)依據(jù)你的常用設(shè)備,、用戶ID以及密鑰進(jìn)行判別，軟件證書如果有被篡改或復(fù)制的風(fēng)險(xiǎn),，意味著你的身份信息可能會(huì)被不法分子冒用,。

本篇總結(jié)

　　以上就是十款海外品牌車聯(lián)網(wǎng)手機(jī)App的代碼測(cè)試結(jié)果�,；氐綔y(cè)試結(jié)果,，我們很高興地看到任何一家車企的手機(jī)App都沒(méi)有出現(xiàn)風(fēng)險(xiǎn)漏洞,，僅存在代碼問(wèn)題，實(shí)際被黑客和不法分子攻擊的可能性較小,。而最終的成績(jī)我們也應(yīng)該辯證的看待,，首先，“做多錯(cuò)多”,，舉個(gè)很簡(jiǎn)單的例子,，有網(wǎng)頁(yè)瀏覽功能的App才可能存在網(wǎng)頁(yè)瀏覽代碼問(wèn)題，十款軟件功能繁復(fù)程度各異,，測(cè)試采用依據(jù)代碼問(wèn)題數(shù)量及風(fēng)險(xiǎn)程度扣分的機(jī)制,，功能繁多的App自然吃點(diǎn)虧。當(dāng)然,，作為消費(fèi)者,，我們還是希望車企在提供更多便捷服務(wù)的同時(shí)，也能最大程度上保障車主個(gè)人隱私和信息的安全,。（圖/文 汽車之家 鄭旭）