为了贯彻落实《中华人民共和国网络安全法》,推动网络安全合规与数据保护在汽车行业的应用,中国软件评测中心在全国范围内启动了首批车联网移动APP信息安全测评工作,现将测评活动结果发布。

本次安全测评细分82项测评项目,测评样本包括37款主流在售车型使用的APP,覆盖行业内16家主流车企,包括一汽、北汽、奇点、威马、东风、上汽、吉利、蔚来、Tesla、广汽、比亚迪、长安、长城、小鹏、零跑、现代,车型主要涉及一汽红旗、一汽奔腾、东风风神、东风风光、东风启辰、大众凌渡、上汽荣威、奥迪、凯迪拉克、别克、雪佛兰、奇点iS6、哈弗、吉利博越、吉利博瑞、吉利帝豪、特斯拉等。结果如下:

1、测评样本

本次测评的37款APP按照用途大致可分类为:车控类、查询类和服务类。其中,车控类APP共22款,查询类APP共7款,服务类APP共8款。

图1 测评样本分类

车控类APP:需与车辆绑定,为用户提供控车功能。

控车功能主要包括远程开关锁、车辆启动、空调启动、座椅调节、车窗开关、车灯开闭、后备箱开关、除霜、鸣笛、泊车,同时还支持用户获取行车数据、车辆油量(电量)等信息;

查询类APP:需与车辆绑定,为用户提供车辆信息查询功能。

支持用户实时查询掌握车辆有关信息,分析车辆数据、停车查找、车况诊断等。能够实现远程监控车辆开启状态、车门车窗状态等,但无法进行控车操作;

服务类APP:无需绑定车辆,主要为互动服务平台。

为用户提供包括购车攻略、预约试驾、车主生活、用车指南、周边商品等服务。

2、测评结果

22款车控类APP测评结果

分析结果可以得出,22个测评样本平均得分75分,最高分89分,最低分50分。其中,安全性高的APP共12个,占比超过50%;安全性中的APP共7个,占比32%;存在较大安全风险的APP共3个,占比为14%。

图2 车控类APP测评结果

7款查询类APP测评结果

分析结果可以得出,7个测评样本平均得分73分,最高分89分,最低分58分。其中,安全性较高的APP共3个,占比不足一半;安全性中的APP共3个,占比43%;存在较大安全风险的APP一个。

图3 查询类APP测评结果

8款服务类APP测评结果

分析结果可以得出,8个测评样本平均得分62分,最高分82分,最低分42分。其中,安全性较高的APP共3个,占比38%;安全性中的APP一个;存在较大安全风险的APP较多,占比高达一半。

图4 服务类APP测评结果

安全风险检出结果

在82项测评项目中,检出率排名前五的安全风险包括:剪切板敏感信息泄露漏洞、So文件破解风险、代码残留URL信息检测、Activity组件导出风险、Broadcast Receiver组件导出风险。

图5 安全风险检出率统计

高危安全风险检出结果

在82项测评项目中,检出率排名前五的高危安全风险包括:动态注入攻击风险、动态调试攻击风险、InnerHTML的XSS攻击漏洞、加固壳识别、Java代码反编译风险。

图6 高危安全风险检出率统计

3、总结与建议

一方面,从车联网移动APP用途来看,车控类、查询类APP平均在70分以上,安全性总体中等偏上;服务类APP平均分较低,仅有62分,说明涉及到与车辆进行绑定时,厂商会更为重视APP的安全防护。另一方面,从车联网移动APP安全风险类型来看,高频风险检出率均超过60%,高危高频风险的检出率也在40%左右,需要针对具体风险进行自查或采用第三方加固方案。建议:

(1)做好车联网移动APP信息安全防护。测评结果显示,所有被测APP样本均存在一定程度的潜在安全风险。APP开发过程中若未重视防护,便很容易导致安全漏洞。因此车联网移动APP需要加强安全防护与保障,对整个应用的开发全生命周期进行安全管理。

(2)加强车联网移动APP安全性测评。目前网联汽车大量部署移动APP,尤其是具有控车功能的APP,涉及到与车辆进行绑定,存在直接攻击车辆和控制车辆的安全风险。因此需要加强企业内部APP准入安全评估、第三方的APP安全测评,为APP的安全保驾护航。

(3)完善车联网移动APP产业安全生态。坚持市场主导、政府引导的发展模式,围绕车联网移动APP的开发、加固、部署、使用等环节,开发厂商、加固企业、主机厂及用户需加强安全意识,提高防范和抵御安全风险的能力,完善整个产业安全生态。

声明:本文来自中国软件评测中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。