恨他們也敬他們！車(chē)聯(lián)App信息安全測(cè)試

鄭旭

2020年05月25日 19:00 原創(chuàng) 來(lái)源：汽車(chē)之家

收藏 (0條) 舉報(bào)/糾錯(cuò)

測(cè)試和成績(jī)

　　首先要進(jìn)行兩點(diǎn)說(shuō)明：

　　1、JIVIC實(shí)驗(yàn)室測(cè)試的疑似風(fēng)險(xiǎn)漏洞結(jié)果是基于代碼分析，并非我們常見(jiàn)的已知風(fēng)險(xiǎn)漏洞（即已經(jīng)有黑客或測(cè)試人員證實(shí)能利用這些漏洞對(duì)目標(biāo)進(jìn)行攻擊），本文中的漏洞是指可能存在有疑似漏洞的代碼和程序設(shè)計(jì)，有被黑客利用并造成不同程度危害的風(fēng)險(xiǎn)。

　　2、沒(méi)有不能被攻破的系統(tǒng)，只有是否足夠誘人的利益。但凡是程序皆存在漏洞，我們希望的是引起用戶(hù)和行業(yè)的重視，盡可能地去激勵(lì)主機(jī)廠去提高安全門(mén)檻，保護(hù)用戶(hù)信息安全和隱私。而面對(duì)這些數(shù)字，我們消費(fèi)者也不用過(guò)度擔(dān)憂(yōu)。在大多數(shù)情況下，我們并不值得別人煞費(fèi)苦心。

　　這是一件非�？膳碌氖虑�，所以證書(shū)的安全性、唯一性都是非常重要的。一般好的云端會(huì)定期更新內(nèi)含密鑰和公鑰的CA（數(shù)字證書(shū)），更新的過(guò)程需要嚴(yán)格的認(rèn)證體系，主要依靠用戶(hù)的專(zhuān)門(mén)設(shè)備、用戶(hù)ID以及密鑰，同時(shí)也帶來(lái)文件安全的高加密要求。

　　我們將疑似風(fēng)險(xiǎn)漏洞分成四個(gè)等級(jí)，從高到低分別為“嚴(yán)重”、“高”、“中”和“低”，前兩者可能造成的危害要遠(yuǎn)高于后兩者。在下圖問(wèn)題漏洞總數(shù)中我們用對(duì)應(yīng)顏色的色塊為大家標(biāo)出了風(fēng)險(xiǎn)等級(jí)。

總結(jié)

　　成績(jī)上，最終比亞迪的兩款A(yù)pp表現(xiàn)最佳，“藍(lán)牙鑰匙”一程度上得益于功能簡(jiǎn)單，而比亞迪云服務(wù)的優(yōu)秀成績(jī)則多少能側(cè)面體現(xiàn)比亞迪多年的安卓系統(tǒng)開(kāi)發(fā)功底，使得看似“開(kāi)源”且“激進(jìn)”的App程序安全性卻出人意料的好。同樣表現(xiàn)不錯(cuò)的還有啟晨智聯(lián)和寶駿新能源。寶駿730(參數(shù)|詢(xún)價(jià))手機(jī)互聯(lián)、吉利GNetLink和智駕行則出現(xiàn)了等級(jí)“嚴(yán)重”的疑似風(fēng)險(xiǎn)漏洞，值得引起注意。

　　信息安全是一場(chǎng)沒(méi)有硝煙的戰(zhàn)爭(zhēng)，這個(gè)時(shí)代沒(méi)有噶爾丹、吳三桂、鰲拜，但有病毒和網(wǎng)絡(luò)劫持的威脅、隱私數(shù)據(jù)“漫天飛”的困擾。我們能看到各家廠商們?cè)谛畔踩舷碌墓Ψ颍?dāng)然，“革命尚未成功，同志還需努力”。我們也期望，現(xiàn)有的威脅能倒逼著主機(jī)廠，對(duì)汽車(chē)網(wǎng)絡(luò)安全愈發(fā)重視，自身也愈發(fā)強(qiáng)大，從而惠及我們的消費(fèi)者。（圖/文汽車(chē)之家鄭旭測(cè)試數(shù)據(jù) JIVIC汽車(chē)信息安全實(shí)驗(yàn)室）