代碼分析結(jié)果和解讀

　　這個(gè)項(xiàng)目上，我們沒(méi)有和任何一家車(chē)企進(jìn)行合作，而是直接將適用于安卓系統(tǒng)的APK軟件包交給有一定權(quán)威性的第三方測(cè)試機(jī)構(gòu)進(jìn)行代碼分析，由于測(cè)試時(shí)間有一定延遲，故測(cè)試結(jié)論只適用于安卓版手機(jī)App，只針對(duì)文中標(biāo)明的軟件版本。理論上iPhone版App由于Apple官方自己的安全性檢測(cè)，軟件安全性可能會(huì)相對(duì)更好一點(diǎn)。以下是代碼測(cè)試結(jié)果和一些簡(jiǎn)單的解讀。

　　上汽通用別克的iBuck代碼分析成績(jī)最佳，幾乎拿到滿分。整個(gè)測(cè)試中，只有1項(xiàng)問(wèn)題，無(wú)風(fēng)險(xiǎn)漏洞。簡(jiǎn)單來(lái)說(shuō)，“問(wèn)題”是指App代碼中相對(duì)不合理的地方，“風(fēng)險(xiǎn)漏洞”則可以被他人利用，依據(jù)風(fēng)險(xiǎn)程度，可能會(huì)竊取個(gè)人信息甚至對(duì)車(chē)輛進(jìn)行解鎖和控制。

　　iBuck唯一的問(wèn)題出現(xiàn)在文件（Document）測(cè)試上，這部分問(wèn)題是指儲(chǔ)存在設(shè)備中的文件沒(méi)有得到很好的加密和保護(hù)，他人可能竊取這部分文件，替換、修改甚至逆向。特別是密鑰信息，竊取密鑰信息就相當(dāng)于得到了你的賬號(hào)密碼。

　　東風(fēng)Honda_link成績(jī)?yōu)?6分，排名第二，測(cè)試中共發(fā)現(xiàn)5項(xiàng)問(wèn)題，無(wú)風(fēng)險(xiǎn)漏洞。除了1項(xiàng)文件測(cè)試問(wèn)題外，還包括4項(xiàng)描述文件（Information）問(wèn)題。

　　描述文件問(wèn)題是指被發(fā)送出去的信息存在安全風(fēng)險(xiǎn)，和本地文件一樣，如果這些信息被截取，意味著存在信息安全風(fēng)險(xiǎn)。與此同時(shí)，在風(fēng)險(xiǎn)等級(jí)占比上，東風(fēng)Honda_link達(dá)到警告級(jí)別的問(wèn)題有三個(gè)。

　　一汽大眾、日產(chǎn)智聯(lián)、東風(fēng)標(biāo)致智行和東風(fēng)雪鐵龍智行成績(jī)一致，拿到95.5分。他們的風(fēng)險(xiǎn)和問(wèn)題數(shù)量也完全一致，均為6項(xiàng)問(wèn)題，其中包含5個(gè)描述文件問(wèn)題和1個(gè)文件問(wèn)題，無(wú)風(fēng)險(xiǎn)漏洞，達(dá)到警告級(jí)別的問(wèn)題有三個(gè)。

　　廣汽三菱的菱行得到95分，和前者四款A(yù)pp相比，菱行達(dá)到警告級(jí)別的問(wèn)題數(shù)量為4個(gè)，所以成績(jī)略低了0.5分。下面的幾位成績(jī)就是在90分以下了。

　　上汽大眾App存在15項(xiàng)問(wèn)題，除了前面提到描述文件和文件測(cè)試外，出現(xiàn)1項(xiàng)廣播測(cè)試（Broadcast）和2項(xiàng)網(wǎng)頁(yè)瀏覽測(cè)試（Webview）問(wèn)題。

　　廣播問(wèn)題和漏洞會(huì)給假云端服務(wù)器可乘之機(jī)，導(dǎo)致我們的軟件被遠(yuǎn)程控制或被木馬程序利用，被控制的軟件可能會(huì)持續(xù)發(fā)信息給云端，阻斷我們通過(guò)服務(wù)器獲取正常服務(wù)的途徑。網(wǎng)頁(yè)瀏覽功能出現(xiàn)漏洞則會(huì)影響我們查看網(wǎng)頁(yè)時(shí)的安全性，代碼測(cè)試內(nèi)容會(huì)包含網(wǎng)頁(yè)訪問(wèn)權(quán)限、范圍以及對(duì)用戶信息的驗(yàn)證等等。

　　馬自達(dá)的My Mazda以及一汽豐田App在測(cè)試中分別拿到86分和85.5分，My Mazda在證書(shū)測(cè)試（Qualification）中出現(xiàn)了問(wèn)題，通常證書(shū)的認(rèn)證體系會(huì)依據(jù)你的常用設(shè)備、用戶ID以及密鑰進(jìn)行判別，軟件證書(shū)如果有被篡改或復(fù)制的風(fēng)險(xiǎn)，意味著你的身份信息可能會(huì)被不法分子冒用。

本篇總結(jié)

　　以上就是十款海外品牌車(chē)聯(lián)網(wǎng)手機(jī)App的代碼測(cè)試結(jié)果�；氐綔y(cè)試結(jié)果，我們很高興地看到任何一家車(chē)企的手機(jī)App都沒(méi)有出現(xiàn)風(fēng)險(xiǎn)漏洞，僅存在代碼問(wèn)題，實(shí)際被黑客和不法分子攻擊的可能性較小。而最終的成績(jī)我們也應(yīng)該辯證的看待，首先，“做多錯(cuò)多”，舉個(gè)很簡(jiǎn)單的例子，有網(wǎng)頁(yè)瀏覽功能的App才可能存在網(wǎng)頁(yè)瀏覽代碼問(wèn)題，十款軟件功能繁復(fù)程度各異，測(cè)試采用依據(jù)代碼問(wèn)題數(shù)量及風(fēng)險(xiǎn)程度扣分的機(jī)制，功能繁多的App自然吃點(diǎn)虧。當(dāng)然，作為消費(fèi)者，我們還是希望車(chē)企在提供更多便捷服務(wù)的同時(shí)，也能最大程度上保障車(chē)主個(gè)人隱私和信息的安全。（圖/文 汽車(chē)之家 鄭旭）

查看同類(lèi)文章：

互聯(lián)出行

更多精彩內(nèi)容：

二手車(chē)百科

輪胎解讀

電動(dòng)車(chē)車(chē)聞

專(zhuān)業(yè)的知識(shí)/易懂的表達(dá) 就在用車(chē)頻道！