[汽車之家 互聯(lián)出行]　　在汽車網(wǎng)聯(lián)化的“大時(shí)代”，我們有幸見證了群星閃耀的夜空。不同于130多年前那片屬于西方的天空，今天，不管是汽車電動(dòng)化還是智能化，最亮的幾顆星都被染上了紅色。而正如工業(yè)革命背后的污染和勞工壓榨問題、“肥宅快樂水”和膨化食品背后的肥胖問題、伴隨“因特網(wǎng)”出現(xiàn)的病毒等等，每一項(xiàng)新事物的出現(xiàn)都與問題和風(fēng)險(xiǎn)相伴。

　　我們想知道，在汽車網(wǎng)聯(lián)化的背后，可能隱藏著哪些涉及我們車主隱私、信息安全的風(fēng)險(xiǎn)隱患，應(yīng)該引起車主以及車企的重視。

　　《康熙王朝》里，古稀之年的康熙在千叟宴上：“這第三碗酒啊，朕要敬給朕的死敵們。鰲拜，吳三桂、鄭經(jīng)、噶爾丹，還有那個(gè)朱三太子，他們都是英雄豪杰呀，�。∷麄冊炀土穗�，他們逼著朕立下了這豐功偉業(yè)。朕恨他們，也敬他們。”一席話慷慨激昂，如今的智能網(wǎng)聯(lián)信息安全正如這8歲登基的小皇帝，黑客、漏洞就均如環(huán)伺的猛虎餓狼，但無敵人無以致強(qiáng)大。我們希望有一天，當(dāng)中國的“汽車信息安全”產(chǎn)業(yè)打敗強(qiáng)敵惡鬼，自身愈發(fā)強(qiáng)大之時(shí)，豪邁地說出那句“祝他們，來生再世再與朕為敵吧！”受益者將是屆時(shí)千千萬萬用車生活離不開智能網(wǎng)聯(lián)的車主用戶們。

　　為了對智能網(wǎng)聯(lián)信息安全狀況有相對嚴(yán)謹(jǐn)?shù)钠饰�，汽車之家�?span style="color:#cc0000;">JIVIC汽車信息安全實(shí)驗(yàn)室（清華大學(xué)蘇州汽車研究院和江蘇省智能網(wǎng)聯(lián)汽車創(chuàng)新中心聯(lián)合建立）合作，希望通過科學(xué)嚴(yán)謹(jǐn)?shù)拇�碼分析測試，剖析安全隱患。在第一階段，我們會(huì)把視線重點(diǎn)放在汽車遠(yuǎn)程控制App，探究其背后的風(fēng)險(xiǎn)問題。

　　上一期我們測試了7款海外品牌汽車遠(yuǎn)程控制App，而本期我們將帶來7款中國品牌以及1款第三方汽車遠(yuǎn)程控制App的測試結(jié)果，根據(jù)咱們用戶的反饋，我們也優(yōu)化了展現(xiàn)形式，希望能夠提供更通俗的解讀和更明確的參考。

App信息安全測試背景

　　測試基于安卓手機(jī)系統(tǒng)環(huán)境，原因有二，其一由于蘋果iOS系統(tǒng)的App Store商店本身有自己的檢驗(yàn)流程，對安全性已經(jīng)有了一定程度的把關(guān)。其二由于軟件包形式的問題，測試iOS版本應(yīng)用需要廠商送測，故我們利用APK軟件包在安卓環(huán)境下進(jìn)行測試。

受測App概覽

　　本期我們測試了5個(gè)汽車品牌的7款遠(yuǎn)程控制App以及1款第三方智能車聯(lián)App，分別為比亞迪云服務(wù)V4.6.1、寶駿新能源V2.3.26、蔚來V3.10.4、藍(lán)牙鑰匙（比亞迪）、吉利V2.9.1.1515、寶駿730手機(jī)互聯(lián)V3.0.17、啟辰智聯(lián)V2.0.8以及智駕行V6.1.8 yesway.mobile，我們來一起看看這幾款A(yù)pp。

　　受測App簡介中的圖片部分來源于應(yīng)用商城簡介、過去測試文章等渠道，并不一定完全符合實(shí)際受測版本的界面或功能，只用作給各位簡單介紹App用途。下面我們分成廣播、證書、文件、描述文件、通用、WebView幾個(gè)大項(xiàng)測試這些App中分別有多少疑似風(fēng)險(xiǎn)漏洞項(xiàng)目。

測試和成績

　　首先要進(jìn)行兩點(diǎn)說明：

　　1、JIVIC實(shí)驗(yàn)室測試的疑似風(fēng)險(xiǎn)漏洞結(jié)果是基于代碼分析，并非我們常見的已知風(fēng)險(xiǎn)漏洞（即已經(jīng)有黑客或測試人員證實(shí)能利用這些漏洞對目標(biāo)進(jìn)行攻擊），本文中的漏洞是指可能存在有疑似漏洞的代碼和程序設(shè)計(jì)，有被黑客利用并造成不同程度危害的風(fēng)險(xiǎn)。

　　2、沒有不能被攻破的系統(tǒng)，只有是否足夠誘人的利益。但凡是程序皆存在漏洞，我們希望的是引起用戶和行業(yè)的重視，盡可能地去激勵(lì)主機(jī)廠去提高安全門檻，保護(hù)用戶信息安全和隱私。而面對這些數(shù)字，我們消費(fèi)者也不用過度擔(dān)憂。在大多數(shù)情況下，我們并不值得別人煞費(fèi)苦心。

　　這是一件非�？膳碌氖虑椋�所以證書的安全性、唯一性都是非常重要的。一般好的云端會(huì)定期更新內(nèi)含密鑰和公鑰的CA（數(shù)字證書），更新的過程需要嚴(yán)格的認(rèn)證體系，主要依靠用戶的專門設(shè)備、用戶ID以及密鑰，同時(shí)也帶來文件安全的高加密要求。

　　我們將疑似風(fēng)險(xiǎn)漏洞分成四個(gè)等級，從高到低分別為“嚴(yán)重”、“高”、“中”和“低”，前兩者可能造成的危害要遠(yuǎn)高于后兩者。在下圖問題漏洞總數(shù)中我們用對應(yīng)顏色的色塊為大家標(biāo)出了風(fēng)險(xiǎn)等級。

總結(jié)

　　成績上，最終比亞迪的兩款A(yù)pp表現(xiàn)最佳，“藍(lán)牙鑰匙”一程度上得益于功能簡單，而比亞迪云服務(wù)的優(yōu)秀成績則多少能側(cè)面體現(xiàn)比亞迪多年的安卓系統(tǒng)開發(fā)功底，使得看似“開源”且“激進(jìn)”的App程序安全性卻出人意料的好。同樣表現(xiàn)不錯(cuò)的還有啟晨智聯(lián)和寶駿新能源。寶駿730手機(jī)互聯(lián)、吉利GNetLink和智駕行則出現(xiàn)了等級“嚴(yán)重”的疑似風(fēng)險(xiǎn)漏洞，值得引起注意。

　　信息安全是一場沒有硝煙的戰(zhàn)爭，這個(gè)時(shí)代沒有噶爾丹、吳三桂、鰲拜，但有病毒和網(wǎng)絡(luò)劫持的威脅、隱私數(shù)據(jù)“漫天飛”的困擾。我們能看到各家廠商們在信息安全上下的功夫，當(dāng)然，“革命尚未成功，同志還需努力”。我們也期望，現(xiàn)有的威脅能倒逼著主機(jī)廠，對汽車網(wǎng)絡(luò)安全愈發(fā)重視，自身也愈發(fā)強(qiáng)大，從而惠及我們的消費(fèi)者。（圖/文 汽車之家 鄭旭 測試數(shù)據(jù) JIVIC汽車信息安全實(shí)驗(yàn)室）