大切諾基 參考價(jià)：52.99萬起

查看參配 獲取底價(jià)

購置稅優(yōu)惠 經(jīng)銷商報(bào)價(jià) 車主點(diǎn)評(48條)

有一個(gè)問題一直困擾著我們:在汽車智能網(wǎng)聯(lián)“大流行”的時(shí)代，我們獲得了便利，背后有哪些風(fēng)險(xiǎn)？我們的汽車面臨著哪些信息安全風(fēng)險(xiǎn)，車主的什么樣的權(quán)益可能會受到危害。為此，我們與JIVIC汽車信息安全實(shí)驗(yàn)室合作，希望通過科學(xué)嚴(yán)謹(jǐn)?shù)臏y試來探索這些問題。經(jīng)過前期對車聯(lián)網(wǎng)App的大量測試，我們發(fā)現(xiàn)信息安全是一個(gè)大家都在努力的問題，但還需要繼續(xù)多加關(guān)注。

為什么要做汽車信息安全測試？

我們和很多從事汽車信息安全技術(shù)的企業(yè)和從業(yè)者交流過，得到了這樣一個(gè)令人震驚的結(jié)論:所有聯(lián)網(wǎng)設(shè)備都無法破解，當(dāng)然也包括汽車。但是，這并不意味著車企在信息安全上投入的精力和費(fèi)用全部白費(fèi)。相反，它們非常有價(jià)值。

《速度與激情8》中有一個(gè)經(jīng)典片段，反派黑客入侵了紐約曼哈頓街道一整個(gè)區(qū)域的1000多輛汽車，并控制它們攔截部長的車隊(duì)。

當(dāng)然，現(xiàn)實(shí)生活中沒有科幻小說，但汽車被“黑客團(tuán)隊(duì)”破解卻是常事。從2021年到2021年，黑客入侵汽車的事件不斷發(fā)生。據(jù)上游最新報(bào)告統(tǒng)計(jì)，公開報(bào)道的針對智能聯(lián)網(wǎng)汽車的網(wǎng)絡(luò)安全攻擊事件從2021年的80起激增至2021年的155起，攻擊類型也呈現(xiàn)多元化發(fā)展趨勢。其中比較知名的涉及Jeep、豐田、特斯拉品牌，這三起事件恰好對應(yīng)了入侵汽車的三種主要方式。

他們可以在不接觸汽車的情況下入侵和控制汽車的多媒體系統(tǒng)、動力系統(tǒng)和制動系統(tǒng)。危機(jī)導(dǎo)致克萊斯勒召回140萬輛汽車。

更多精彩視頻，均在車載家庭視頻頻道。

2021年3月，騰訊Cohen Lab指出雷克薩斯和豐田車型存在安全漏洞，黑客可以利用識別出的藍(lán)牙安全漏洞運(yùn)行部分汽車功能。

越來越多的攻擊表明，黑客對于不同攻擊面的研究能力越來越深，黑客使用自制破解工具進(jìn)行攻擊的情況屢見不鮮。黑客的破解工具和破解教程甚至可以在黑暗網(wǎng)絡(luò)論壇買到。

我們要測試什么？

信息漏洞的風(fēng)險(xiǎn)極高。一旦被利用，車輛上常見的問題包括數(shù)據(jù)隱私泄露、軟件系統(tǒng)篡改、系統(tǒng)故障失控、車輛被盜甚至遠(yuǎn)程控制等。

測試內(nèi)容涵蓋廣播、證書、存儲文件、信息、描述文件、網(wǎng)頁和病毒等。在測試結(jié)果中，我們會逐一說明這些方面的漏洞和警示可能給車主帶來的影響和風(fēng)險(xiǎn)。

之所以測試安卓系統(tǒng)環(huán)境，是因?yàn)樘O果iOS系統(tǒng)的App Store有自己的檢查流程，安全性已經(jīng)過一定程度的檢查。因?yàn)檐浖问降膯栴}，測試iOS版本應(yīng)用需要廠家發(fā)，所以第一批15個(gè)應(yīng)用是在安卓環(huán)境下使用APK軟件包測試的。

后續(xù)與JIVIC汽車信息安全實(shí)驗(yàn)室還將在汽車網(wǎng)絡(luò)架構(gòu)安全、設(shè)備安全、ECU安全、無線連接安全等領(lǐng)域進(jìn)行深度合作。

測試結(jié)果顯示

參與本次測試的七款手機(jī)應(yīng)用和版本分別是本田DVR Link V1.2.6、特斯拉V3.10.0-382、奔馳藍(lán)牙鑰匙V1.3、本田Hondash V1.4.0、雪佛蘭MyChevy V6.0.0、現(xiàn)代BlueLink V2.46和福特V3.6.0，基于安卓環(huán)境和以上版本號分析APK文件。

●廣播測試

●證書測試

這是一件可怕的事情，所以證書的安全性和唯一性非常重要。一般好的云會定期更新包含密鑰和公鑰的CA。更新過程需要嚴(yán)格的認(rèn)證體系，主要依賴于用戶的專用設(shè)備、用戶ID和密鑰，也給文件安全帶來了很高的加密要求。

其實(shí)這是一種高級的方法，但風(fēng)險(xiǎn)是在使用前提示用戶完成初始化證書配對認(rèn)證。如果沒有這樣的過程，就意味著沒有預(yù)制的認(rèn)證，后續(xù)的認(rèn)證過程可能會有被復(fù)制的風(fēng)險(xiǎn)。

●本地和信息文件測試

最危險(xiǎn)的是鑰匙被發(fā)現(xiàn)并被替換。在文件和信息的疑似API關(guān)鍵測試中，福特和雪佛蘭MyChevy的警告號分別為177和107，這部分的風(fēng)險(xiǎn)需要單獨(dú)說明。

一個(gè)好的加密功能會使用動態(tài)密碼來保護(hù)密鑰信息，也就是使用動態(tài)白盒。白盒工具本身價(jià)格不低，只對C語言有效，有一定的成本和技術(shù)門檻。是否使用類似技術(shù)也在一定程度上區(qū)分了軟件對密鑰等文件的保護(hù)能力。當(dāng)然，安全性要求更高的軟件，比如我們常見的支付寶、微信支付，也會和手機(jī)公司簽約預(yù)制TEE，與手機(jī)中的安全芯片配對綁定。這是一種更安全的方式，但在車聯(lián)網(wǎng)控制App領(lǐng)域，還沒有人這樣做。

●一般測試

●網(wǎng)頁和其他測試

摘要

第一批測試的應(yīng)用有15款，其中7款來自6個(gè)海外汽車品牌，另外8款全部來自中國汽車品牌移動車協(xié)App。在測試的應(yīng)用中，海外品牌的漏洞和警告數(shù)量普遍較少。如果將本文七款應(yīng)用中漏洞和警告數(shù)量最多的福特學(xué)校放在第一批測試應(yīng)用中，其漏洞和警告數(shù)量只會排在第五位。海外品牌的整體安全性能優(yōu)于中國品牌。當(dāng)然，鑒于功能豐富度的差異，也涉及到“多犯錯(cuò)誤”的問題。

測試中的問題主要集中在本地和信息文件測試中。這些漏洞可能導(dǎo)致包括賬戶密碼在內(nèi)的信息泄露，從而導(dǎo)致車輛被盜等風(fēng)險(xiǎn)。但由于駕駛機(jī)構(gòu)的管控權(quán)限很少向手機(jī)App開放，基本不存在嚴(yán)重影響行車安全的風(fēng)險(xiǎn)。

就像開頭說的，沒有解決不了的系統(tǒng)，即使是性能最好的本田本田本田，總會出現(xiàn)問題，我們要理性對待。無論結(jié)果好壞，我們都希望廠商能夠重視App的信息安全，推動廠商提升用戶的信息保護(hù)能力，減少和規(guī)避用戶在使用便利功能時(shí)所面臨的風(fēng)險(xiǎn)。

感謝你看到結(jié)局。下期我們將公布其余8款中國品牌應(yīng)用的信息安全測試結(jié)果。歡迎大家關(guān)注智能車聯(lián)App的安全測試。在，一直有一句話，汽車安全無小事。和你一起鼓勵(lì)。