欢迎光临第五届中国汽车网络信息安全峰会2020!

恨他们也敬他们!车联App信息安全测试

发布日期:2020-08-06

GRCC IoVSecurity 昨天 

手机阅读

点击上方蓝色字体,关注我们

 在汽车网联化的“大时代”,我们有幸见证了群星闪耀的夜空。不同于130多年前那片属于西方的天空,今天,不管是汽车电动化还是智能化,最亮的几颗星都被染上了红色。而正如工业革命背后的污染和劳工压榨问题、“肥宅快乐水”和膨化食品背后的肥胖问题、伴随“因特网”出现的病毒等等,每一项新事物的出现都与问题和风险相伴。

  我们想知道,在汽车网联化的背后,可能隐藏着哪些涉及我们车主隐私、信息安全的风险隐患,应该引起车主以及车企的重视。

  《康熙王朝》里,古稀之年的康熙在千叟宴上:“这第三碗酒啊,朕要敬给朕的死敌们。鳌拜,吴三桂、郑经、噶尔丹,还有那个朱三太子,他们都是英雄豪杰呀,啊!他们造就了朕,他们逼着朕立下了这丰功伟业。朕恨他们,也敬他们。”一席话慷慨激昂,如今的智能网联信息安全正如这8岁登基的小皇帝,黑客、漏洞就均如环伺的猛虎饿狼,但无敌人无以致强大。我们希望有一天,当中国的“汽车信息安全”产业打败强敌恶鬼,自身愈发强大之时,豪迈地说出那句“祝他们,来生再世再与朕为敌吧!”受益者将是届时千千万万用车生活离不开智能网联的车主用户们。

  为了对智能网联信息安全状况有相对严谨的剖析,汽车之家和JIVIC汽车信息安全实验室(清华大学苏州汽车研究院和江苏省智能网联汽车创新中心联合建立)合作,希望通过科学严谨的代码分析测试,剖析安全隐患。在第一阶段,我们会把视线重点放在汽车远程控制App,探究其背后的风险问题。

  上一期我们测试了7款海外品牌汽车远程控制App,而本期我们将带来7款中国品牌以及1款第三方汽车远程控制App的测试结果,根据咱们用户的反馈,我们也优化了展现形式,希望能够提供更通俗的解读和更明确的参考。

App信息安全测试背景


  测试基于安卓手机系统环境,原因有二,其一由于苹果iOS系统的App Store商店本身有自己的检验流程,对安全性已经有了一定程度的把关。其二由于软件包形式的问题,测试iOS版本应用需要厂商送测,故我们利用APK软件包在安卓环境下进行测试。

受测App概览

  本期我们测试了5个汽车品牌的7款远程控制App以及1款第三方智能车联App,分别为比亚迪云服务V4.6.1、宝骏新能源V2.3.26、蔚来V3.10.4、蓝牙钥匙(比亚迪)、吉利V2.9.1.1515、宝骏730(参数|询价)手机互联V3.0.17、启辰智联V2.0.8以及智驾行V6.1.8 yesway.mobile,我们来一起看看这几款App。









  受测App简介中的图片部分来源于应用商城简介、过去测试文章等渠道,并不一定完全符合实际受测版本的界面或功能,只用作给各位简单介绍App用途。下面我们分成广播、证书、文件、描述文件、通用、WebView几个大项测试这些App中分别有多少疑似风险漏洞项目。

测试和成绩

  首先要进行两点说明:

  1、JIVIC实验室测试的疑似风险漏洞结果是基于代码分析,并非我们常见的已知风险漏洞(即已经有黑客或测试人员证实能利用这些漏洞对目标进行攻击),本文中的漏洞是指可能存在有疑似漏洞的代码和程序设计,有被黑客利用并造成不同程度危害的风险。

  2、没有不能被攻破的系统,只有是否足够诱人的利益。但凡是程序皆存在漏洞,我们希望的是引起用户和行业的重视,尽可能地去激励主机厂去提高安全门槛,保护用户信息安全和隐私。而面对这些数字,我们消费者也不用过度担忧。在大多数情况下,我们并不值得别人煞费苦心。





  这是一件非常可怕的事情,所以证书的安全性、唯一性都是非常重要的。一般好的云端会定期更新内含密钥和公钥的CA(数字证书),更新的过程需要严格的认证体系,主要依靠用户的专门设备、用户ID以及密钥,同时也带来文件安全的高加密要求。








  我们将疑似风险漏洞分成四个等级,从高到低分别为“严重”、“高”、“中”和“低”,前两者可能造成的危害要远高于后两者。在下图问题漏洞总数中我们用对应颜色的色块为大家标出了风险等级。


总结

  成绩上,最终比亚迪的两款App表现**,“蓝牙钥匙”一程度上得益于功能简单,而比亚迪云服务的优秀成绩则多少能侧面体现比亚迪多年的安卓系统开发功底,使得看似“开源”且“激进”的App程序安全性却出人意料的好。同样表现不错的还有启晨智联和宝骏新能源。宝骏730(参数|询价)手机互联、吉利GNetLink和智驾行则出现了等级“严重”的疑似风险漏洞,值得引起注意。

  信息安全是一场没有硝烟的战争,这个时代没有噶尔丹、吴三桂、鳌拜,但有病毒和网络劫持的威胁、隐私数据“漫天飞”的困扰。我们能看到各家厂商们在信息安全上下的功夫,当然,“革命尚未成功,同志还需努力”。我们也期望,现有的威胁能倒逼着主机厂,对汽车网络安全愈发重视,自身也愈发强大,从而惠及我们的消费者。

图/文: 汽车之家 郑旭 
测试数据:JIVIC汽车信息安全实验室


相关文章

无人“独善其身” 智能车联App安全测试




SELECTED EVENTS




 

长按二维码识别关注



我就知道你“在看”


  • 电话咨询
  • 15021948198
  • 021-22306692
None