主流海外品牌 手机车联App信息安全测试

　　[汽车之家 互联出行]  作为最懂你的“人”，手机隐私安全问题在这几年，时不时就会爆雷一次。我们的账号、密码甚至小秘密都存放在手机里，一旦“被黑”，造成的损失和影响可能是巨大的。

　　在汽车进入网联化时代之后，各家主机厂也都相继开发了自己的手机App用于车辆信息查询、远程控制和社群运营等。我们《车联网App信息安全测试》项目的目标就是要探究各家车企车联App的安全水平以及对用户信息安全的重视程度。

　　过去的一期我们测试了中国品牌的多款App应用，本期将着眼于主流海外品牌，看看海外品牌对信息安全的重视程度是否更高。

　　为了探究各家App的隐私安全水平，汽车之家和第三方机构合作，通过严谨的代码分析，查找车联网手机App中可能存在的漏洞，并指出其安全隐患。

　　个人隐私和信息安全问题不容小觑，希望借《车联App信息安全测试》，能帮助消费者督促企业加强对隐私安全问题的重视，同时也促进车企不断改善自身的信息安全保障水平。

受测App成绩概览

　　本期测试的App包括iBuick 8.5.1（上汽通用别克）、My Mazda 1.0.4（一汽-马自达）、东风Honda_link 1.0.1（东风本田）、东风标致智行 3.0.2（东风标致）、东风雪铁龙智行 3.0.2（东风雪铁龙）、菱行 1.2.1（广汽三菱）、日产智联 1.5.0（东风日产）、上汽大众 1.0.9、一汽-大众 3.0.7以及一汽-丰田 4.0.2，共10款App。受测对象为安卓APK软件包，采用第三方机构代码分析的形式进行测试。

　　由于测试和内容制作周期问题，目前各家App版本都进行了或大或小的更新，测试结果仅针对上述App版本号，且仅针对安卓手机版本。

　　本期共涉及10个品牌超过50款车型，其中许多在销量排行榜上位居前列甚至榜首，我们也期望通过《车联App信息安全测试》帮助更多消费者了解汽车的手机App信息安全水平。

代码分析结果和解读

　　这个项目上，我们没有和任何一家车企进行合作，而是直接将适用于安卓系统的APK软件包交给有一定权威性的第三方测试机构进行代码分析，由于测试时间有一定延迟，故测试结论只适用于安卓版手机App，只针对文中标明的软件版本。理论上iPhone版App由于Apple官方自己的安全性检测，软件安全性可能会相对更好一点。以下是代码测试结果和一些简单的解读。

　　上汽通用别克的iBuck代码分析成绩最佳，几乎拿到满分。整个测试中，只有1项问题，无风险漏洞。简单来说，“问题”是指App代码中相对不合理的地方，“风险漏洞”则可以被他人利用，依据风险程度，可能会窃取个人信息甚至对车辆进行解锁和控制。

　　iBuck唯一的问题出现在文件（Document）测试上，这部分问题是指储存在设备中的文件没有得到很好的加密和保护，他人可能窃取这部分文件，替换、修改甚至逆向。特别是密钥信息，窃取密钥信息就相当于得到了你的账号密码。

　　东风Honda_link成绩为96分，排名第二，测试中共发现5项问题，无风险漏洞。除了1项文件测试问题外，还包括4项描述文件（Information）问题。

　　描述文件问题是指被发送出去的信息存在安全风险，和本地文件一样，如果这些信息被截取，意味着存在信息安全风险。与此同时，在风险等级占比上，东风Honda_link达到警告级别的问题有三个。

　　一汽大众、日产智联、东风标致智行和东风雪铁龙智行成绩一致，拿到95.5分。他们的风险和问题数量也完全一致，均为6项问题，其中包含5个描述文件问题和1个文件问题，无风险漏洞，达到警告级别的问题有三个。

　　广汽三菱的菱行得到95分，和前者四款App相比，菱行达到警告级别的问题数量为4个，所以成绩略低了0.5分。下面的几位成绩就是在90分以下了。

　　上汽大众App存在15项问题，除了前面提到描述文件和文件测试外，出现1项广播测试（Broadcast）和2项网页浏览测试（Webview）问题。

　　广播问题和漏洞会给假云端服务器可乘之机，导致我们的软件被远程控制或被木马程序利用，被控制的软件可能会持续发信息给云端，阻断我们通过服务器获取正常服务的途径。网页浏览功能出现漏洞则会影响我们查看网页时的安全性，代码测试内容会包含网页访问权限、范围以及对用户信息的验证等等。

　　马自达的My Mazda以及一汽丰田App在测试中分别拿到86分和85.5分，My Mazda在证书测试（Qualification）中出现了问题，通常证书的认证体系会依据你的常用设备、用户ID以及密钥进行判别，软件证书如果有被篡改或复制的风险，意味着你的身份信息可能会被不法分子冒用。

本篇总结

　　以上就是十款海外品牌车联网手机App的代码测试结果。回到测试结果，我们很高兴地看到任何一家车企的手机App都没有出现风险漏洞，仅存在代码问题，实际被黑客和不法分子攻击的可能性较小。而最终的成绩我们也应该辩证的看待，首先，“做多错多”，举个很简单的例子，有网页浏览功能的App才可能存在网页浏览代码问题，十款软件功能繁复程度各异，测试采用依据代码问题数量及风险程度扣分的机制，功能繁多的App自然吃点亏。当然，作为消费者，我们还是希望车企在提供更多便捷服务的同时，也能最大程度上保障车主个人隐私和信息的安全。（图/文 汽车之家 郑旭）