文/中國軟件評測中心
近日,中國軟件評測中心發(fā)布了首批37款車聯(lián)網(wǎng)移動APP信息安全測評結(jié)果。根據(jù)結(jié)果,在37款車聯(lián)網(wǎng)APP中,安全性較高的有18款,占比48%,不足一半;存在較大安全風(fēng)險的有8款,占比22%,接近1/4。
為貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》,推動網(wǎng)絡(luò)安全合規(guī)與數(shù)據(jù)保護在汽車行業(yè)的應(yīng)用,中國軟件評測中心在全國范圍內(nèi)啟動了首批車聯(lián)網(wǎng)移動APP 信息安全測評工作,評測結(jié)果也已于近日發(fā)布。
本次安全測評細(xì)分82 項測評項目,測評樣本包括37 款主流在售車型使用的APP,覆蓋行業(yè)內(nèi)16 家主流車企,包括一汽、北汽、奇點、威馬、東風(fēng)、上汽、吉利、蔚來、Tesla、廣汽、比亞迪、長安、長城、小鵬、零跑、現(xiàn)代,車型主要涉及一汽紅旗、一汽奔騰、東風(fēng)風(fēng)神、東風(fēng)風(fēng)光、東風(fēng)啟辰、大眾凌渡、上汽榮威、奧迪、凱迪拉克、別克、雪佛蘭、奇點iS6、哈弗、吉利博越、吉利博瑞、吉利帝豪、特斯拉等。
根據(jù)測評結(jié)果,在37 款車聯(lián)網(wǎng)APP 中,安全性較高的有18 款,占比48%,不足一半;存在較大安全風(fēng)險的有8 款,占比22%,接近1/4。
本次測評的37 款A(yù)PP 按照用途大致可分為車控類、查詢類和服務(wù)類。其中,車控類APP 共22 款,查詢類APP 共7 款,服務(wù)類APP共 8 款。
車控類APP 需要與車輛綁定,為用戶提供控車功能??剀嚬δ苤饕ㄟh(yuǎn)程開關(guān)鎖、車輛啟動、空調(diào)啟動、座椅調(diào)節(jié)、車窗開關(guān)、車燈開閉、后備箱開關(guān)、除霜、鳴笛、泊車,同時還支持用戶獲取行車數(shù)據(jù)、車輛油量(電量)等信息。
查詢類APP 同樣需要與車輛綁定,為用戶提供車輛信息查詢功能。支持用戶實時查詢掌握車輛有關(guān)信息,分析車輛數(shù)據(jù)、停車查找、車況診斷等。能夠?qū)崿F(xiàn)遠(yuǎn)程監(jiān)控車輛開啟狀態(tài)、車門車窗狀態(tài)等,但無法進(jìn)行控車操作。
服務(wù)類APP 無需綁定車輛,主要為互動服務(wù)平臺。能夠為用戶提供包括購車攻略、預(yù)約試駕、車主生活、用車指南、周邊商品等服務(wù)。
根據(jù)分析結(jié)果,22 款車控類APP 測評樣本平均得分75 分,最高分89 分,最低分50 分。其中,安全性高的APP 共12 個,占比超過50%;安全性中等的APP 共7 個,占比32%;存在較大安全風(fēng)險的APP 共3 個,占比為14%。
7 款查詢類APP 測評樣本平均得分73 分,最高分89 分,最低分58 分。其中,安全性較高的APP共3 個,占比不足一半;安全性中等的APP 共3 個,占比43%;存在較大安全風(fēng)險的APP 一個。
8 款服務(wù)類APP 測評樣本平均得分62 分,最高分82 分,最低分42 分。其中,安全性較高的APP 共3 個,占比38%;安全性中等的APP 一個;存在較大安全風(fēng)險的APP 較多,占比高達(dá)一半。
在82 項測評項目中,檢出率排名前五的安全風(fēng)險包括:剪切板敏感信息泄露漏洞、So 文件破解風(fēng)險、代碼殘留URL 信息檢測、Activity 組件導(dǎo)出風(fēng)險、BroadcastReceiver 組件導(dǎo)出風(fēng)險。
在82 項測評項目中,檢出率排名前五的高危安全風(fēng)險包括:動態(tài)注入攻擊風(fēng)險、動態(tài)調(diào)試攻擊風(fēng)險、InnerHTML 的XSS 攻擊漏洞、加固殼識別、Java 代碼反編譯風(fēng)險。
一方面,從車聯(lián)網(wǎng)移動APP用途來看,車控類、查詢類APP平均在70 分以上,安全性總體中等偏上;服務(wù)類APP 平均分較低,僅有62 分。說明涉及到與車輛進(jìn)行綁定時,廠商會更為重視APP的安全防護。另一方面,從車聯(lián)網(wǎng)移動APP 安全風(fēng)險類型來看,高頻風(fēng)險檢出率均超過60%,高危高頻風(fēng)險的檢出率也在40%左右,需要針對具體風(fēng)險進(jìn)行自查或采用第三方加固方案。
綜上所述,中國軟件評測中心建議:
第一,做好車聯(lián)網(wǎng)移動APP信息安全防護。測評結(jié)果顯示,所有被測APP 樣本均存在一定程度的潛在安全風(fēng)險。APP 開發(fā)過程中若未重視防護,便很容易導(dǎo)致留存安全漏洞。因此車聯(lián)網(wǎng)移動APP 需要加強安全防護與保障,對整個應(yīng)用的開發(fā)全生命周期進(jìn)行安全管理。
第二,加強車聯(lián)網(wǎng)移動APP安全性測評。目前網(wǎng)聯(lián)汽車大量部署移動APP,尤其是具有控車功能的APP,涉及到與車輛進(jìn)行綁定,存在直接攻擊車輛和控制車輛的安全風(fēng)險。因此需要加強企業(yè)內(nèi)部APP 準(zhǔn)入安全評估、第三方的APP 安全測評,為APP 的安全保駕護航。
第三,完善車聯(lián)網(wǎng)移動APP產(chǎn)業(yè)安全生態(tài)。堅持市場主導(dǎo)、政府引導(dǎo)的發(fā)展模式,圍繞車聯(lián)網(wǎng)移動APP 的開發(fā)、加固、部署、使用等環(huán)節(jié),開發(fā)廠商、加固企業(yè)、主機廠及用戶需加強安全意識,提高防范和抵御安全風(fēng)險的能力,完善整個產(chǎn)業(yè)安全生態(tài)。