恨他們也敬他們！車聯App信息安全測試

鄭旭

2020年05月25日 19:00 原創來源：汽車之家

收藏 (0條) 舉報/糾錯

測試和成績

　　首先要進行兩點說明：

　　1、JIVIC實驗室測試的疑似風險漏洞結果是基于代碼分析，并非我們常見的已知風險漏洞（即已經有黑客或測試人員證實能利用這些漏洞對目標進行攻擊），本文中的漏洞是指可能存在有疑似漏洞的代碼和程序設計，有被黑客利用并造成不同程度危害的風險。

　　2、沒有不能被攻破的系統，只有是否足夠誘人的利益。但凡是程序皆存在漏洞，我們希望的是引起用戶和行業的重視，盡可能地去激勵主機廠去提高安全門檻，保護用戶信息安全和隱私。而面對這些數字，我們消費者也不用過度擔憂。在大多數情況下，我們并不值得別人煞費苦心。

　　這是一件非�？膳碌氖虑�，所以證書的安全性、唯一性都是非常重要的。一般好的云端會定期更新內含密鑰和公鑰的CA（數字證書），更新的過程需要嚴格的認證體系，主要依靠用戶的專門設備、用戶ID以及密鑰，同時也帶來文件安全的高加密要求。

　　我們將疑似風險漏洞分成四個等級，從高到低分別為“嚴重”、“高”、“中”和“低”，前兩者可能造成的危害要遠高于后兩者。在下圖問題漏洞總數中我們用對應顏色的色塊為大家標出了風險等級。

總結

　　成績上，最終比亞迪的兩款App表現最佳，“藍牙鑰匙”一程度上得益于功能簡單，而比亞迪云服務的優秀成績則多少能側面體現比亞迪多年的安卓系統開發功底，使得看似“開源”且“激進”的App程序安全性卻出人意料的好。同樣表現不錯的還有啟晨智聯和寶駿新能源。寶駿730(參數|詢價)手機互聯、吉利GNetLink和智駕行則出現了等級“嚴重”的疑似風險漏洞，值得引起注意。

　　信息安全是一場沒有硝煙的戰爭，這個時代沒有噶爾丹、吳三桂、鰲拜，但有病毒和網絡劫持的威脅、隱私數據“漫天飛”的困擾。我們能看到各家廠商們在信息安全上下的功夫，當然，“革命尚未成功，同志還需努力”。我們也期望，現有的威脅能倒逼著主機廠，對汽車網絡安全愈發重視，自身也愈發強大，從而惠及我們的消費者。（圖/文汽車之家鄭旭測試數據 JIVIC汽車信息安全實驗室）