【CMIC讯】车机承担着人与车、车与外界沟通的主要任务，而随着人们生活品质的提升，车机同时也承担着影音播放等娱乐功能，随着导航技术的发展，车机又承担了导航界面显示的功能。换言之，车机就是一个车载信息娱乐终端。然而，随着汽车越来越智能化，其被攻击、渗透的风险也越来越高，在这其中，车载信息娱乐终端的安全性逐渐成为被高度关注的议题。尤其是对绝大多数车载信息娱乐终端而言，以上所有功能取决于其所安装的APP应用程序。由于汽车信息安全是最近几年才刚刚兴起的领域，针对车载信息娱乐终端安全性的测试思路、测试方法也在逐步摸索。下面是基于实际案例，对车载信息娱乐终端应用APP安全性的测试思路。
 
　　1、对应用APP的分析思路
 
　　混淆后的APP可以增加反编译的难度，从而防止不法人员在对其破译后进行恶意篡改。此外，应用APP普遍使用第三方SDK，增加了应用APP的安全风险。所以可以将应用APP是否做了混淆、第三方SDK安全性列为测试点。测试思路是：在获取应用APP后，可利用apktool等工具对.apk文件进行解包，即反编译为java代码并进行分析。在分析中，可重点检查其是否进行了混淆，以及第三方SDK是否安全。
 
　　2、对非授权APP安装防护的测试思路
 
　　从安全角度出发，可被安装到车载信息娱乐终端中的应用APP，应该是经过官方授权的，这样可以从安装源头确保所安装APP的安全性。测试思路是：利用adb工具尝试将未经官方授权的应用APP程序安装到车载信息娱乐终端，查看终端是否对非官方授权APP的安装进行报警提示并阻止其运行。
 
　　3、授权APP篡改防护的测试思路
 
　　如果无法安装非授权的应用APP，那么攻击者可能转换思路，对已经被官方授权的APP进行篡改，从而达到攻击目的。对于授权APP篡改防护的测试思路是：在获取授权的应用APP后，对其进行篡改，比如删除若干文件，而后利用adb工具尝试将其安装到车载信息娱乐终端，查看终端是否对非官方授权APP的安装进行报警提示并阻止其运行。
 
　　4、授权APP卸载防护的测试思路
 
　　在既无法安装非授权APP，又无法篡改授权APP的情况下，攻击者还可能通过卸载原终端中安装的APP程序，例如卸载安全APP，从而破坏终端的防御能力。对于授权APP卸载防护的测试思路是：利用adb工具，对终端APP程序，尤其是安全APP程序进行卸载，查看终端是否对授权APP的卸载进行报警提示并阻止其运行。
 
　　5、结语
 
　　车辆信息安全性的问题在近几年才得到比较广泛的重视，对车载信息娱乐终端安全性的相关措施也在逐步摸索。对于车载信息娱乐终端应用APP安全性的测试来说，本文提供了对应用APP的分析、对非授权APP安装防护、授权APP篡改防护、授权APP卸载防护等的测试思路，期望为其他车载信息娱乐终端安全性的测试提供借鉴。

责任编辑：拂晓晨风