車聯(lián)網(wǎng)APP沒有你想象中那么安全

文／中國軟件評測中心

近日，中國軟件評測中心發(fā)布了首批37款車聯(lián)網(wǎng)移動APP信息安全測評結(jié)果。根據(jù)結(jié)果，在37款車聯(lián)網(wǎng)APP中，安全性較高的有18款，占比48%，不足一半；存在較大安全風(fēng)險的有8款，占比22%，接近1/4。

為貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》，推動網(wǎng)絡(luò)安全合規(guī)與數(shù)據(jù)保護在汽車行業(yè)的應(yīng)用，中國軟件評測中心在全國范圍內(nèi)啟動了首批車聯(lián)網(wǎng)移動APP 信息安全測評工作，評測結(jié)果也已于近日發(fā)布。

本次安全測評細(xì)分82 項測評項目，測評樣本包括37 款主流在售車型使用的APP，覆蓋行業(yè)內(nèi)16 家主流車企，包括一汽、北汽、奇點、威馬、東風(fēng)、上汽、吉利、蔚來、Tesla、廣汽、比亞迪、長安、長城、小鵬、零跑、現(xiàn)代，車型主要涉及一汽紅旗、一汽奔騰、東風(fēng)風(fēng)神、東風(fēng)風(fēng)光、東風(fēng)啟辰、大眾凌渡、上汽榮威、奧迪、凱迪拉克、別克、雪佛蘭、奇點iS6、哈弗、吉利博越、吉利博瑞、吉利帝豪、特斯拉等。

根據(jù)測評結(jié)果，在37 款車聯(lián)網(wǎng)APP 中，安全性較高的有18 款，占比48%，不足一半；存在較大安全風(fēng)險的有8 款，占比22%，接近1/4。

本次測評的37 款A(yù)PP 按照用途大致可分為車控類、查詢類和服務(wù)類。其中，車控類APP 共22 款，查詢類APP 共7 款，服務(wù)類APP共 8 款。

車控類APP 需要與車輛綁定，為用戶提供控車功能?？剀嚬δ苤饕ㄟh(yuǎn)程開關(guān)鎖、車輛啟動、空調(diào)啟動、座椅調(diào)節(jié)、車窗開關(guān)、車燈開閉、后備箱開關(guān)、除霜、鳴笛、泊車，同時還支持用戶獲取行車數(shù)據(jù)、車輛油量（電量）等信息。

查詢類APP 同樣需要與車輛綁定，為用戶提供車輛信息查詢功能。支持用戶實時查詢掌握車輛有關(guān)信息，分析車輛數(shù)據(jù)、停車查找、車況診斷等。能夠?qū)崿F(xiàn)遠(yuǎn)程監(jiān)控車輛開啟狀態(tài)、車門車窗狀態(tài)等，但無法進(jìn)行控車操作。

服務(wù)類APP 無需綁定車輛，主要為互動服務(wù)平臺。能夠為用戶提供包括購車攻略、預(yù)約試駕、車主生活、用車指南、周邊商品等服務(wù)。

三類車聯(lián)網(wǎng)APP服務(wù)類風(fēng)險較高

根據(jù)分析結(jié)果，22 款車控類APP 測評樣本平均得分75 分，最高分89 分，最低分50 分。其中，安全性高的APP 共12 個，占比超過50%；安全性中等的APP 共7 個，占比32%；存在較大安全風(fēng)險的APP 共3 個，占比為14%。

7 款查詢類APP 測評樣本平均得分73 分，最高分89 分，最低分58 分。其中，安全性較高的APP共3 個，占比不足一半；安全性中等的APP 共3 個，占比43%；存在較大安全風(fēng)險的APP 一個。

8 款服務(wù)類APP 測評樣本平均得分62 分，最高分82 分，最低分42 分。其中，安全性較高的APP 共3 個，占比38%；安全性中等的APP 一個；存在較大安全風(fēng)險的APP 較多，占比高達(dá)一半。

在82 項測評項目中，檢出率排名前五的安全風(fēng)險包括：剪切板敏感信息泄露漏洞、So 文件破解風(fēng)險、代碼殘留URL 信息檢測、Activity 組件導(dǎo)出風(fēng)險、BroadcastReceiver 組件導(dǎo)出風(fēng)險。

在82 項測評項目中，檢出率排名前五的高危安全風(fēng)險包括：動態(tài)注入攻擊風(fēng)險、動態(tài)調(diào)試攻擊風(fēng)險、InnerHTML 的XSS 攻擊漏洞、加固殼識別、Java 代碼反編譯風(fēng)險。

開發(fā)、準(zhǔn)入、產(chǎn)業(yè)生態(tài)合力筑牢APP 安全城墻

一方面，從車聯(lián)網(wǎng)移動APP用途來看，車控類、查詢類APP平均在70 分以上，安全性總體中等偏上；服務(wù)類APP 平均分較低，僅有62 分。說明涉及到與車輛進(jìn)行綁定時，廠商會更為重視APP的安全防護。另一方面，從車聯(lián)網(wǎng)移動APP 安全風(fēng)險類型來看，高頻風(fēng)險檢出率均超過60%，高危高頻風(fēng)險的檢出率也在40%左右，需要針對具體風(fēng)險進(jìn)行自查或采用第三方加固方案。

綜上所述，中國軟件評測中心建議：

第一，做好車聯(lián)網(wǎng)移動APP信息安全防護。測評結(jié)果顯示，所有被測APP 樣本均存在一定程度的潛在安全風(fēng)險。APP 開發(fā)過程中若未重視防護，便很容易導(dǎo)致留存安全漏洞。因此車聯(lián)網(wǎng)移動APP 需要加強安全防護與保障，對整個應(yīng)用的開發(fā)全生命周期進(jìn)行安全管理。

第二，加強車聯(lián)網(wǎng)移動APP安全性測評。目前網(wǎng)聯(lián)汽車大量部署移動APP，尤其是具有控車功能的APP，涉及到與車輛進(jìn)行綁定，存在直接攻擊車輛和控制車輛的安全風(fēng)險。因此需要加強企業(yè)內(nèi)部APP 準(zhǔn)入安全評估、第三方的APP 安全測評，為APP 的安全保駕護航。

第三，完善車聯(lián)網(wǎng)移動APP產(chǎn)業(yè)安全生態(tài)。堅持市場主導(dǎo)、政府引導(dǎo)的發(fā)展模式，圍繞車聯(lián)網(wǎng)移動APP 的開發(fā)、加固、部署、使用等環(huán)節(jié)，開發(fā)廠商、加固企業(yè)、主機廠及用戶需加強安全意識，提高防范和抵御安全風(fēng)險的能力，完善整個產(chǎn)業(yè)安全生態(tài)。