目前,我国充电桩APP产品还处于自愿测评阶段,大部分充电桩APP产品未经过第三方测评直接投放到应用市场,其安全防护能力有待考查,可以说,充电桩APP要赶上新能源汽车及充电基础设施的发展步伐并且满足用户日益增长的需求,依然任重道远。
普遍未采用安全协议《充电桩智能终端应用软件测评报告》显示,在安全方面,充电桩APP普遍未采用安全通信协议,导致客户端与服务器间的明文通信数据可以通过多种方式获取,如APP用户支付账户信息、个人身份信息等;充电桩APP均不具备防范重放攻击的能力,存在用户身份鉴别信息被盗用的风险;64%充电桩APP未对自身完整性进行校验,易被篡改,插入吸费广告或恶意链接等;55%的充电桩APP存在敏感信息泄漏风险,用户输入的敏感信息可被第三方获取;45%的Android版应用未对代码采用加密措施,可以通过反编译工具获取业务代码,导致APP业务功能或流程被恶意编排,危及用户重要信息及资金安全。
完整性校验
11款iOS应用中有2款具备完整性校验能力,完整性被破坏后无法正常启动运行,其余9款被篡改后可以正常运行,并且不能给出被篡改提示,这与苹果应用市场相对封闭,对APP有一定安全保护措施;11款Android应用中有6款具备完整性校验的能力,其余5款均不具备。
反编译防范
11款iOS应用均由苹果应用商店对程序进行了代码混淆,增加了获取业务代码花费的时间;11款Android应用中有6款采取了加固措施,使得反编译只能获取引导程序代码,难以获取加密后的实际业务代码,5款未采取保护措施。
敏感数据残留
11款iOS应用有7款未采取可靠的敏感数据保护措施,可以通过内存扫描或者本地文件读取的方式获取用户输入的账号和密码信息,占比64%(7/11);11款Android应用有5款未采取可靠的敏感数据保护措施,占比为45%(5/11)。
通信协议
11款iOS应用有7款未使用安全通信协议;4款使用了HTTPS安全通信协议,但未对服务器证书进行校验,无法确认与其通信的服务器信息真实性。11款Android应用中有10款未使用安全通信协议;1款使用了HTTPS安全通信协议,但未对服务器证书进行校验,无法确认与其通信的服务器信息真实性。
重放攻击
由于在通信协议上存在的问题,导致11款iOS应用和11款Android应用的通信数据均可以通过嗅探或中间人方式截获,登录请求操作均未引入校验参数,可以将截获的登录请求用于重放攻击,存在用户身份被盗用的风险。
出现假死闪退现象《充电桩智能终端应用软件测评报告》显示,在可靠性方面,不同充电桩APP断掉网络或蓝牙连接后,充电控制界面显示情况不同,部分APP在恢复连接后需要重新登录进入充电控制界面;部分充电桩APP在使用过程中出现假死、闪退等现象,充电桩APP在假死状态时不能控制停止充电,存在安全隐患。
运行稳定性
部分充电桩APP在使用过程中出现假死、闪退等现象,充电桩APP在假死状态时不能控制充电停止,存在安全隐患。11款充电桩APP在iOS和Android不同系统使用过程中出现假死、闪退现象不同。11款iOS应用中有2款出现假死、闪退现象;11款Android应用中有3款出现假死、闪退现象。
容错性
检测断掉网络或蓝牙连接后,充电控制界面显示情况以及恢复连接后充电控制界面是否恢复显示。11款充电桩APP容错性测评结果如图所示。
来源:新能源汽车报
小伙伴们还在读
评测| 充电APP:功能体验看似简单 麻烦不少
视点| 曹宏斌:加强充电网络信息安全建设
凤凰网汽车公众号
搜索:autoifeng
官方微博
@ 凤凰网汽车
手机应用
凤凰网汽车&凤凰好车