代码分析结果和解读
这个项目上,我们没有和任何一家车企进行合作,而是直接将适用于安卓系统的APK软件包交给有一定权威性的第三方测试机构进行代码分析,由于测试时间有一定延迟,故测试结论只适用于安卓版手机App,只针对文中标明的软件版本。理论上iPhone版App由于Apple官方自己的安全性检测,软件安全性可能会相对更好一点。以下是代码测试结果和一些简单的解读。
上汽通用别克的iBuck代码分析成绩最佳,几乎拿到满分。整个测试中,只有1项问题,无风险漏洞。简单来说,“问题”是指App代码中相对不合理的地方,“风险漏洞”则可以被他人利用,依据风险程度,可能会窃取个人信息甚至对车辆进行解锁和控制。
iBuck唯一的问题出现在文件(Document)测试上,这部分问题是指储存在设备中的文件没有得到很好的加密和保护,他人可能窃取这部分文件,替换、修改甚至逆向。特别是密钥信息,窃取密钥信息就相当于得到了你的账号密码。
东风Honda_link成绩为96分,排名第二,测试中共发现5项问题,无风险漏洞。除了1项文件测试问题外,还包括4项描述文件(Information)问题。
描述文件问题是指被发送出去的信息存在安全风险,和本地文件一样,如果这些信息被截取,意味着存在信息安全风险。与此同时,在风险等级占比上,东风Honda_link达到警告级别的问题有三个。
一汽大众、日产智联、东风标致智行和东风雪铁龙智行成绩一致,拿到95.5分。他们的风险和问题数量也完全一致,均为6项问题,其中包含5个描述文件问题和1个文件问题,无风险漏洞,达到警告级别的问题有三个。
广汽三菱的菱行得到95分,和前者四款App相比,菱行达到警告级别的问题数量为4个,所以成绩略低了0.5分。下面的几位成绩就是在90分以下了。
上汽大众App存在15项问题,除了前面提到描述文件和文件测试外,出现1项广播测试(Broadcast)和2项网页浏览测试(Webview)问题。
广播问题和漏洞会给假云端服务器可乘之机,导致我们的软件被远程控制或被木马程序利用,被控制的软件可能会持续发信息给云端,阻断我们通过服务器获取正常服务的途径。网页浏览功能出现漏洞则会影响我们查看网页时的安全性,代码测试内容会包含网页访问权限、范围以及对用户信息的验证等等。
马自达的My Mazda以及一汽丰田App在测试中分别拿到86分和85.5分,My Mazda在证书测试(Qualification)中出现了问题,通常证书的认证体系会依据你的常用设备、用户ID以及密钥进行判别,软件证书如果有被篡改或复制的风险,意味着你的身份信息可能会被不法分子冒用。
本篇总结
以上就是十款海外品牌车联网手机App的代码测试结果。回到测试结果,我们很高兴地看到任何一家车企的手机App都没有出现风险漏洞,仅存在代码问题,实际被黑客和不法分子攻击的可能性较小。而最终的成绩我们也应该辩证的看待,首先,“做多错多”,举个很简单的例子,有网页浏览功能的App才可能存在网页浏览代码问题,十款软件功能繁复程度各异,测试采用依据代码问题数量及风险程度扣分的机制,功能繁多的App自然吃点亏。当然,作为消费者,我们还是希望车企在提供更多便捷服务的同时,也能最大程度上保障车主个人隐私和信息的安全。(图/文 汽车之家 郑旭)
加载中
