無人“獨善其身” 智能車聯App安全測試

大切諾基新能源 參考價：59.99萬起

查看參配 獲取底價

購置稅優惠 經銷商報價 車主點評

有一個問題一直困擾著我們:在汽車智能網聯“大流行”的時代，我們獲得了便利，背后有哪些風險？我們的汽車面臨著哪些信息安全風險，車主的什么樣的權益可能會受到危害。為此，我們與JIVIC汽車信息安全實驗室合作，希望通過科學嚴謹的測試來探索這些問題。經過前期對車聯網App的大量測試，我們發現信息安全是一個大家都在努力的問題，但還需要繼續多加關注。

為什么要做汽車信息安全測試？

我們和很多從事汽車信息安全技術的企業和從業者交流過，得到了這樣一個令人震驚的結論:所有聯網設備都無法破解，當然也包括汽車。但是，這并不意味著車企在信息安全上投入的精力和費用全部白費。相反，它們非常有價值。

《速度與激情8》中有一個經典片段，反派黑客入侵了紐約曼哈頓街道一整個區域的1000多輛汽車，并控制它們攔截部長的車隊。

當然，現實生活中沒有科幻小說，但汽車被“黑客團隊”破解卻是常事。從2021年到2021年，黑客入侵汽車的事件不斷發生。據上游最新報告統計，公開報道的針對智能聯網汽車的網絡安全攻擊事件從2021年的80起激增至2021年的155起，攻擊類型也呈現多元化發展趨勢。其中比較知名的涉及Jeep、豐田、特斯拉品牌，這三起事件恰好對應了入侵汽車的三種主要方式。

他們可以在不接觸汽車的情況下入侵和控制汽車的多媒體系統、動力系統和制動系統。危機導致克萊斯勒召回140萬輛汽車。

更多精彩視頻，均在車載家庭視頻頻道。

2021年3月，騰訊Cohen Lab指出雷克薩斯和豐田車型存在安全漏洞，黑客可以利用識別出的藍牙安全漏洞運行部分汽車功能。

越來越多的攻擊表明，黑客對于不同攻擊面的研究能力越來越深，黑客使用自制破解工具進行攻擊的情況屢見不鮮。黑客的破解工具和破解教程甚至可以在黑暗網絡論壇買到。

我們要測試什么？

信息漏洞的風險極高。一旦被利用，車輛上常見的問題包括數據隱私泄露、軟件系統篡改、系統故障失控、車輛被盜甚至遠程控制等。

測試內容涵蓋廣播、證書、存儲文件、信息、描述文件、網頁和病毒等。在測試結果中，我們會逐一說明這些方面的漏洞和警示可能給車主帶來的影響和風險。

之所以測試安卓系統環境，是因為蘋果iOS系統的App Store有自己的檢查流程，安全性已經過一定程度的檢查。因為軟件包形式的問題，測試iOS版本應用需要廠家發，所以第一批15個應用是在安卓環境下使用APK軟件包測試的。

后續與JIVIC汽車信息安全實驗室還將在汽車網絡架構安全、設備安全、ECU安全、無線連接安全等領域進行深度合作。

測試結果顯示

參與本次測試的七款手機應用和版本分別是本田DVR Link V1.2.6、特斯拉V3.10.0-382、奔馳藍牙鑰匙V1.3、本田Hondash V1.4.0、雪佛蘭MyChevy V6.0.0、現代BlueLink V2.46和福特V3.6.0，基于安卓環境和以上版本號分析APK文件。

●廣播測試

●證書測試

這是一件可怕的事情，所以證書的安全性和唯一性非常重要。一般好的云會定期更新包含密鑰和公鑰的CA。更新過程需要嚴格的認證體系，主要依賴于用戶的專用設備、用戶ID和密鑰，也給文件安全帶來了很高的加密要求。

其實這是一種高級的方法，但風險是在使用前提示用戶完成初始化證書配對認證。如果沒有這樣的過程，就意味著沒有預制的認證，后續的認證過程可能會有被復制的風險。

●本地和信息文件測試

最危險的是鑰匙被發現并被替換。在文件和信息的疑似API關鍵測試中，福特和雪佛蘭MyChevy的警告號分別為177和107，這部分的風險需要單獨說明。

一個好的加密功能會使用動態密碼來保護密鑰信息，也就是使用動態白盒。白盒工具本身價格不低，只對C語言有效，有一定的成本和技術門檻。是否使用類似技術也在一定程度上區分了軟件對密鑰等文件的保護能力。當然，安全性要求更高的軟件，比如我們常見的支付寶、微信支付，也會和手機公司簽約預制TEE，與手機中的安全芯片配對綁定。這是一種更安全的方式，但在車聯網控制App領域，還沒有人這樣做。

●一般測試

●網頁和其他測試

摘要

第一批測試的應用有15款，其中7款來自6個海外汽車品牌，另外8款全部來自中國汽車品牌移動車協App。在測試的應用中，海外品牌的漏洞和警告數量普遍較少。如果將本文七款應用中漏洞和警告數量最多的福特學校放在第一批測試應用中，其漏洞和警告數量只會排在第五位。海外品牌的整體安全性能優于中國品牌。當然，鑒于功能豐富度的差異，也涉及到“多犯錯誤”的問題。

測試中的問題主要集中在本地和信息文件測試中。這些漏洞可能導致包括賬戶密碼在內的信息泄露，從而導致車輛被盜等風險。但由于駕駛機構的管控權限很少向手機App開放，基本不存在嚴重影響行車安全的風險。

就像開頭說的，沒有解決不了的系統，即使是性能最好的本田本田本田，總會出現問題，我們要理性對待。無論結果好壞，我們都希望廠商能夠重視App的信息安全，推動廠商提升用戶的信息保護能力，減少和規避用戶在使用便利功能時所面臨的風險。

感謝你看到結局。下期我們將公布其余8款中國品牌應用的信息安全測試結果。歡迎大家關注智能車聯App的安全測試。在，一直有一句話，汽車安全無小事。和你一起鼓勵。