[汽車之家 互聯(lián)出行]  作為最懂你的“人”,，手機隱私安全問題在這幾年，時不時就會爆雷一次,。我們的賬號、密碼甚至小秘密都存放在手機里，一旦“被黑”,，造成的損失和影響可能是巨大的。

　　在汽車進入網(wǎng)聯(lián)化時代之后,，各家主機廠也都相繼開發(fā)了自己的手機App用于車輛信息查詢,、遠程控制和社群運營等。我們《車聯(lián)網(wǎng)App信息安全測試》項目的目標就是要探究各家車企車聯(lián)App的安全水平以及對用戶信息安全的重視程度,。

　　過去的一期我們測試了中國品牌的多款A(yù)pp應(yīng)用,，本期將著眼于主流海外品牌，看看海外品牌對信息安全的重視程度是否更高,。

　　為了探究各家App的隱私安全水平,，汽車之家和第三方機構(gòu)合作，通過嚴謹?shù)拇�碼分析,，查找車聯(lián)網(wǎng)手機App中可能存在的漏洞,，并指出其安全隱患。

　　個人隱私和信息安全問題不容小覷,，希望借《車聯(lián)App信息安全測試》,，能幫助消費者督促企業(yè)加強對隱私安全問題的重視，同時也促進車企不斷改善自身的信息安全保障水平,。

受測App成績概覽

　　本期測試的App包括iBuick 8.5.1（上汽通用別克）,、My Mazda 1.0.4（一汽-馬自達）、東風(fēng)Honda_link 1.0.1（東風(fēng)本田）,、東風(fēng)標致智行 3.0.2（東風(fēng)標致）,、東風(fēng)雪鐵龍智行 3.0.2（東風(fēng)雪鐵龍）、菱行 1.2.1（廣汽三菱）,、日產(chǎn)智聯(lián) 1.5.0（東風(fēng)日產(chǎn)）,、上汽大眾 1.0.9、一汽-大眾 3.0.7以及一汽-豐田 4.0.2,，共10款A(yù)pp,。受測對象為安卓APK軟件包，采用第三方機構(gòu)代碼分析的形式進行測試,。

　　由于測試和內(nèi)容制作周期問題,，目前各家App版本都進行了或大或小的更新，測試結(jié)果僅針對上述App版本號，且僅針對安卓手機版本,。

　　本期共涉及10個品牌超過50款車型,，其中許多在銷量排行榜上位居前列甚至榜首，我們也期望通過《車聯(lián)App信息安全測試》幫助更多消費者了解汽車的手機App信息安全水平,。

代碼分析結(jié)果和解讀

　　這個項目上,，我們沒有和任何一家車企進行合作，而是直接將適用于安卓系統(tǒng)的APK軟件包交給有一定權(quán)威性的第三方測試機構(gòu)進行代碼分析,，由于測試時間有一定延遲,，故測試結(jié)論只適用于安卓版手機App，只針對文中標明的軟件版本,。理論上iPhone版App由于Apple官方自己的安全性檢測,，軟件安全性可能會相對更好一點。以下是代碼測試結(jié)果和一些簡單的解讀,。

　　上汽通用別克的iBuck代碼分析成績最佳,，幾乎拿到滿分。整個測試中,，只有1項問題,，無風(fēng)險漏洞。簡單來說,，“問題”是指App代碼中相對不合理的地方,，“風(fēng)險漏洞”則可以被他人利用，依據(jù)風(fēng)險程度,，可能會竊取個人信息甚至對車輛進行解鎖和控制,。

　　iBuck唯一的問題出現(xiàn)在文件（Document）測試上，這部分問題是指儲存在設(shè)備中的文件沒有得到很好的加密和保護,，他人可能竊取這部分文件,，替換、修改甚至逆向,。特別是密鑰信息,，竊取密鑰信息就相當于得到了你的賬號密碼。

　　東風(fēng)Honda_link成績?yōu)?6分,，排名第二,，測試中共發(fā)現(xiàn)5項問題，無風(fēng)險漏洞,。除了1項文件測試問題外,，還包括4項描述文件（Information）問題。

　　描述文件問題是指被發(fā)送出去的信息存在安全風(fēng)險,，和本地文件一樣,，如果這些信息被截取，意味著存在信息安全風(fēng)險,。與此同時,，在風(fēng)險等級占比上，東風(fēng)Honda_link達到警告級別的問題有三個,。

　　一汽大眾,、日產(chǎn)智聯(lián)、東風(fēng)標致智行和東風(fēng)雪鐵龍智行成績一致,，拿到95.5分,。他們的風(fēng)險和問題數(shù)量也完全一致，均為6項問題,，其中包含5個描述文件問題和1個文件問題,，無風(fēng)險漏洞，達到警告級別的問題有三個,。

　　廣汽三菱的菱行得到95分,，和前者四款A(yù)pp相比，菱行達到警告級別的問題數(shù)量為4個,，所以成績略低了0.5分,。下面的幾位成績就是在90分以下了。

　　上汽大眾App存在15項問題,，除了前面提到描述文件和文件測試外,，出現(xiàn)1項廣播測試（Broadcast）和2項網(wǎng)頁瀏覽測試（Webview）問題。

　　廣播問題和漏洞會給假云端服務(wù)器可乘之機,，導(dǎo)致我們的軟件被遠程控制或被木馬程序利用,，被控制的軟件可能會持續(xù)發(fā)信息給云端，阻斷我們通過服務(wù)器獲取正常服務(wù)的途徑,。網(wǎng)頁瀏覽功能出現(xiàn)漏洞則會影響我們查看網(wǎng)頁時的安全性,，代碼測試內(nèi)容會包含網(wǎng)頁訪問權(quán)限、范圍以及對用戶信息的驗證等等,。

　　馬自達的My Mazda以及一汽豐田App在測試中分別拿到86分和85.5分,，My Mazda在證書測試（Qualification）中出現(xiàn)了問題，通常證書的認證體系會依據(jù)你的常用設(shè)備,、用戶ID以及密鑰進行判別,，軟件證書如果有被篡改或復(fù)制的風(fēng)險，意味著你的身份信息可能會被不法分子冒用,。

本篇總結(jié)

　　以上就是十款海外品牌車聯(lián)網(wǎng)手機App的代碼測試結(jié)果,。回到測試結(jié)果,，我們很高興地看到任何一家車企的手機App都沒有出現(xiàn)風(fēng)險漏洞,，僅存在代碼問題,，實際被黑客和不法分子攻擊的可能性較小。而最終的成績我們也應(yīng)該辯證的看待,，首先,，“做多錯多”，舉個很簡單的例子,，有網(wǎng)頁瀏覽功能的App才可能存在網(wǎng)頁瀏覽代碼問題,，十款軟件功能繁復(fù)程度各異，測試采用依據(jù)代碼問題數(shù)量及風(fēng)險程度扣分的機制,，功能繁多的App自然吃點虧,。當然，作為消費者,，我們還是希望車企在提供更多便捷服務(wù)的同時,，也能最大程度上保障車主個人隱私和信息的安全。（圖/文 汽車之家 鄭旭）