車聯網APP沒有你想象中那么安全

文／中國軟件評測中心

近日，中國軟件評測中心發布了首批37款車聯網移動APP信息安全測評結果。根據結果，在37款車聯網APP中，安全性較高的有18款，占比48%，不足一半；存在較大安全風險的有8款，占比22%，接近1/4。

為貫徹落實《中華人民共和國網絡安全法》，推動網絡安全合規與數據保護在汽車行業的應用，中國軟件評測中心在全國范圍內啟動了首批車聯網移動APP 信息安全測評工作，評測結果也已于近日發布。

本次安全測評細分82 項測評項目，測評樣本包括37 款主流在售車型使用的APP，覆蓋行業內16 家主流車企，包括一汽、北汽、奇點、威馬、東風、上汽、吉利、蔚來、Tesla、廣汽、比亞迪、長安、長城、小鵬、零跑、現代，車型主要涉及一汽紅旗、一汽奔騰、東風風神、東風風光、東風啟辰、大眾凌渡、上汽榮威、奧迪、凱迪拉克、別克、雪佛蘭、奇點iS6、哈弗、吉利博越、吉利博瑞、吉利帝豪、特斯拉等。

根據測評結果，在37 款車聯網APP 中，安全性較高的有18 款，占比48%，不足一半；存在較大安全風險的有8 款，占比22%，接近1/4。

本次測評的37 款APP 按照用途大致可分為車控類、查詢類和服務類。其中，車控類APP 共22 款，查詢類APP 共7 款，服務類APP共 8 款。

車控類APP 需要與車輛綁定，為用戶提供控車功能。控車功能主要包括遠程開關鎖、車輛啟動、空調啟動、座椅調節、車窗開關、車燈開閉、后備箱開關、除霜、鳴笛、泊車，同時還支持用戶獲取行車數據、車輛油量（電量）等信息。

查詢類APP 同樣需要與車輛綁定，為用戶提供車輛信息查詢功能。支持用戶實時查詢掌握車輛有關信息，分析車輛數據、停車查找、車況診斷等。能夠實現遠程監控車輛開啟狀態、車門車窗狀態等，但無法進行控車操作。

服務類APP 無需綁定車輛，主要為互動服務平臺。能夠為用戶提供包括購車攻略、預約試駕、車主生活、用車指南、周邊商品等服務。

三類車聯網APP服務類風險較高

根據分析結果，22 款車控類APP 測評樣本平均得分75 分，最高分89 分，最低分50 分。其中，安全性高的APP 共12 個，占比超過50%；安全性中等的APP 共7 個，占比32%；存在較大安全風險的APP 共3 個，占比為14%。

7 款查詢類APP 測評樣本平均得分73 分，最高分89 分，最低分58 分。其中，安全性較高的APP共3 個，占比不足一半；安全性中等的APP 共3 個，占比43%；存在較大安全風險的APP 一個。

8 款服務類APP 測評樣本平均得分62 分，最高分82 分，最低分42 分。其中，安全性較高的APP 共3 個，占比38%；安全性中等的APP 一個；存在較大安全風險的APP 較多，占比高達一半。

在82 項測評項目中，檢出率排名前五的安全風險包括：剪切板敏感信息泄露漏洞、So 文件破解風險、代碼殘留URL 信息檢測、Activity 組件導出風險、BroadcastReceiver 組件導出風險。

在82 項測評項目中，檢出率排名前五的高危安全風險包括：動態注入攻擊風險、動態調試攻擊風險、InnerHTML 的XSS 攻擊漏洞、加固殼識別、Java 代碼反編譯風險。

開發、準入、產業生態合力筑牢APP 安全城墻

一方面，從車聯網移動APP用途來看，車控類、查詢類APP平均在70 分以上，安全性總體中等偏上；服務類APP 平均分較低，僅有62 分。說明涉及到與車輛進行綁定時，廠商會更為重視APP的安全防護。另一方面，從車聯網移動APP 安全風險類型來看，高頻風險檢出率均超過60%，高危高頻風險的檢出率也在40%左右，需要針對具體風險進行自查或采用第三方加固方案。

綜上所述，中國軟件評測中心建議：

第一，做好車聯網移動APP信息安全防護。測評結果顯示，所有被測APP 樣本均存在一定程度的潛在安全風險。APP 開發過程中若未重視防護，便很容易導致留存安全漏洞。因此車聯網移動APP 需要加強安全防護與保障，對整個應用的開發全生命周期進行安全管理。

第二，加強車聯網移動APP安全性測評。目前網聯汽車大量部署移動APP，尤其是具有控車功能的APP，涉及到與車輛進行綁定，存在直接攻擊車輛和控制車輛的安全風險。因此需要加強企業內部APP 準入安全評估、第三方的APP 安全測評，為APP 的安全保駕護航。

第三，完善車聯網移動APP產業安全生態。堅持市場主導、政府引導的發展模式，圍繞車聯網移動APP 的開發、加固、部署、使用等環節，開發廠商、加固企業、主機廠及用戶需加強安全意識，提高防范和抵御安全風險的能力，完善整個產業安全生態。