测试结果展示
本期参与测试的7款手机App及版本分别为本田DVR Link V1.2.6、Tesla V3.10.0-382、奔驰蓝牙钥匙V1.3、本田Hondash V1.4.0、雪佛兰MyChevy V6.0.0、现代BlueLink V2.46、福特派V3.6.0。测试分析基于安卓系统环境以及上述版本号的APK文件。
● 广播测试
● 证书测试
这是一件非常可怕的事情,所以证书的安全性、唯一性都是非常重要的。一般好的云端会定期更新内含密钥和公钥的CA(数字证书),更新的过程需要严格的认证体系,主要依靠用户的专门设备、用户ID以及密钥,同时也带来文件安全的高加密要求。
实际上这是一种先进的做法,但风险是要提示用户在使用前完成初始化证书配对认证,如果没有这个过程,就意味着没有做预制认证,后续的认证过程都可能存在被复刻的风险。
● 本地和信息文件测试
其中最危险的是密钥被找到并替换。在文件和信息的疑似API密钥测试中,福特派和雪弗兰MyChevy警告数分别为177和107个,这部分的风险需要单独解释一下。
好的加密函数会用动态密码等方法去保护密钥信息,也就是利用动态白盒。白盒工具本身的价格不低,且只针对C语言有效,有一定的成本和技术门槛,是否使用类似的技术,也一定程度上区分了软件本身对于密钥等文件信息的保护能力。当然,像我们常见的支付宝、微信支付等对安全要求更高的软件还会跟手机公司签约预制TEE(可信运行空间),跟手机里的安全芯片做配对绑定,这是更加安全的一种做法,但在汽车网联控制App领域,目前还没有人这么做。
● 通用测试
● 网页和其它测试
总结
第一批测试的App共有15款,其中7款来自六款海外汽车品牌,另外8款全部来自中国汽车品牌手机车联App。在参测的App中,海外品牌App漏洞和警告数整体偏少,本文7款App中漏洞和警告总数最多的福特派如果放到第一批测试App总榜中也仅排到漏洞和警告数第五名,海外品牌整体安全性表现优于中国品牌,当然鉴于功能丰富度的区别,这里也牵扯到“做多错多”的问题。(下期将为大家带来8款中国品牌App测试结果)
测试中出现的问题主要集中在本地和信息文件测试当中,这部分漏洞可能导致包括账号密码在内的信息泄漏等问题,进而有可能产生车辆被盗等风险,但由于行驶机构控制权限极少开放给手机App,基本不存在严重影响驾驶安全的风险。
就像开篇所说,没有破解不了的系统,即便是成绩最好的本田Hondash,问题也总是会存在的,我们应当理性看待。不论成绩好坏,我们希望的是能引起厂商对App信息安全的重视,促进厂商提高用户信息保护能力,减少和避免用户在使用便利功能时面临的风险。
感谢大家看到最后,下期我们将公布其余8款中国品牌App的信息安全测试结果,欢迎大家持续关注汽车之家智能车联App安全测试。在汽车之家,一直以来都有这么一句话:关于汽车安全,没有一件事是小事。与君共勉。(图/文 汽车之家 郑旭)
加载中
