[汽車之家 互聯(lián)出行]  作為最懂你的“人”，手機隱私安全問題在這幾年，時不時就會爆雷一次。我們的賬號、密碼甚至小秘密都存放在手機里，一旦“被黑”，造成的損失和影響可能是巨大的。

　　在汽車進入網(wǎng)聯(lián)化時代之后，各家主機廠也都相繼開發(fā)了自己的手機App用于車輛信息查詢、遠程控制和社群運營等。我們《車聯(lián)網(wǎng)App信息安全測試》項目的目標就是要探究各家車企車聯(lián)App的安全水平以及對用戶信息安全的重視程度。

　　過去的一期我們測試了中國品牌的多款App應用，本期將著眼于主流海外品牌，看看海外品牌對信息安全的重視程度是否更高。

　　為了探究各家App的隱私安全水平，汽車之家和第三方機構合作，通過嚴謹?shù)拇�碼分析，查找車聯(lián)網(wǎng)手機App中可能存在的漏洞，并指出其安全隱患。

　　個人隱私和信息安全問題不容小覷，希望借《車聯(lián)App信息安全測試》，能幫助消費者督促企業(yè)加強對隱私安全問題的重視，同時也促進車企不斷改善自身的信息安全保障水平。

受測App成績概覽

　　本期測試的App包括iBuick 8.5.1（上汽通用別克）、My Mazda 1.0.4（一汽-馬自達）、東風Honda_link 1.0.1（東風本田）、東風標致智行 3.0.2（東風標致）、東風雪鐵龍智行 3.0.2（東風雪鐵龍）、菱行 1.2.1（廣汽三菱）、日產(chǎn)智聯(lián) 1.5.0（東風日產(chǎn)）、上汽大眾 1.0.9、一汽-大眾 3.0.7以及一汽-豐田 4.0.2，共10款App。受測對象為安卓APK軟件包，采用第三方機構代碼分析的形式進行測試。

　　由于測試和內(nèi)容制作周期問題，目前各家App版本都進行了或大或小的更新，測試結果僅針對上述App版本號，且僅針對安卓手機版本。

　　本期共涉及10個品牌超過50款車型，其中許多在銷量排行榜上位居前列甚至榜首，我們也期望通過《車聯(lián)App信息安全測試》幫助更多消費者了解汽車的手機App信息安全水平。

代碼分析結果和解讀

　　這個項目上，我們沒有和任何一家車企進行合作，而是直接將適用于安卓系統(tǒng)的APK軟件包交給有一定權威性的第三方測試機構進行代碼分析，由于測試時間有一定延遲，故測試結論只適用于安卓版手機App，只針對文中標明的軟件版本。理論上iPhone版App由于Apple官方自己的安全性檢測，軟件安全性可能會相對更好一點。以下是代碼測試結果和一些簡單的解讀。

　　上汽通用別克的iBuck代碼分析成績最佳，幾乎拿到滿分。整個測試中，只有1項問題，無風險漏洞。簡單來說，“問題”是指App代碼中相對不合理的地方，“風險漏洞”則可以被他人利用，依據(jù)風險程度，可能會竊取個人信息甚至對車輛進行解鎖和控制。

　　iBuck唯一的問題出現(xiàn)在文件（Document）測試上，這部分問題是指儲存在設備中的文件沒有得到很好的加密和保護，他人可能竊取這部分文件，替換、修改甚至逆向。特別是密鑰信息，竊取密鑰信息就相當于得到了你的賬號密碼。

　　東風Honda_link成績?yōu)?6分，排名第二，測試中共發(fā)現(xiàn)5項問題，無風險漏洞。除了1項文件測試問題外，還包括4項描述文件（Information）問題。

　　描述文件問題是指被發(fā)送出去的信息存在安全風險，和本地文件一樣，如果這些信息被截取，意味著存在信息安全風險。與此同時，在風險等級占比上，東風Honda_link達到警告級別的問題有三個。

　　一汽大眾、日產(chǎn)智聯(lián)、東風標致智行和東風雪鐵龍智行成績一致，拿到95.5分。他們的風險和問題數(shù)量也完全一致，均為6項問題，其中包含5個描述文件問題和1個文件問題，無風險漏洞，達到警告級別的問題有三個。

　　廣汽三菱的菱行得到95分，和前者四款App相比，菱行達到警告級別的問題數(shù)量為4個，所以成績略低了0.5分。下面的幾位成績就是在90分以下了。

　　上汽大眾App存在15項問題，除了前面提到描述文件和文件測試外，出現(xiàn)1項廣播測試（Broadcast）和2項網(wǎng)頁瀏覽測試（Webview）問題。

　　廣播問題和漏洞會給假云端服務器可乘之機，導致我們的軟件被遠程控制或被木馬程序利用，被控制的軟件可能會持續(xù)發(fā)信息給云端，阻斷我們通過服務器獲取正常服務的途徑。網(wǎng)頁瀏覽功能出現(xiàn)漏洞則會影響我們查看網(wǎng)頁時的安全性，代碼測試內(nèi)容會包含網(wǎng)頁訪問權限、范圍以及對用戶信息的驗證等等。

　　馬自達的My Mazda以及一汽豐田App在測試中分別拿到86分和85.5分，My Mazda在證書測試（Qualification）中出現(xiàn)了問題，通常證書的認證體系會依據(jù)你的常用設備、用戶ID以及密鑰進行判別，軟件證書如果有被篡改或復制的風險，意味著你的身份信息可能會被不法分子冒用。

本篇總結

　　以上就是十款海外品牌車聯(lián)網(wǎng)手機App的代碼測試結果。回到測試結果，我們很高興地看到任何一家車企的手機App都沒有出現(xiàn)風險漏洞，僅存在代碼問題，實際被黑客和不法分子攻擊的可能性較小。而最終的成績我們也應該辯證的看待，首先，“做多錯多”，舉個很簡單的例子，有網(wǎng)頁瀏覽功能的App才可能存在網(wǎng)頁瀏覽代碼問題，十款軟件功能繁復程度各異，測試采用依據(jù)代碼問題數(shù)量及風險程度扣分的機制，功能繁多的App自然吃點虧。當然，作為消費者，我們還是希望車企在提供更多便捷服務的同時，也能最大程度上保障車主個人隱私和信息的安全。（圖/文 汽車之家 鄭旭）