北京赛迪智能网联汽车测评工程技术中心和国家智能终端软件产品质量监督检验中心(均隶属于中国软件评测中心)共同开展充电桩智能终端应用软件(APP)的测评,通过对充电桩APP进行安全检测与渠道监测,可以发现这类APP安全防范措施的薄弱环节和在流通渠道的运营风险,以期引起开发方、流通渠道及消费者对安全方面的重视。
近日,北京赛迪智能网联汽车测评工程技术中心和国家智能终端软件产品质量监督检验中心(均隶属于中国软件评测中心)共同开展充电桩智能终端应用软件(APP)的测评,通过官方渠道选取11款充电桩APP,从功能性、安全性、可靠性、易用性、兼容性、流通渠道等方面进行评测,并给出相关问题统计分析结果,用数据说明充电桩APP的现状及问题,为行业相关部门提供参考。重要的是,通过对充电桩APP进行安全检测与渠道监测,可以发现这类APP安全防范措施的薄弱环节和在流通渠道的运营风险,以期引起开发方、流通渠道及消费者对安全方面的重视。
测评总体结论如下:
1.功能性方面,充电桩APP安装、卸载、用户注册、登录、导航、启动/停止充电等基本功能可实现;充电桩运行状态更新时长不一,影响充电桩状态信息的准确性;不同充电桩APP设计的启动充电的操作方式、充电模式、支付方式、界面显示内容、预约充电等功能各异,用户体验不同。
2.安全性方面,充电桩APP普遍未采用安全通信协议,导致客户端与服务器间的明文通信数据可以通过多种方式获取,如APP用户支付账户信息、个人身份信息等;充电桩APP均不具备防范重放攻击的能力,存在用户身份鉴别信息被盗用的风险;64%充电桩APP未对自身完整性进行校验,易被篡改,可能插入吸费广告或恶意链接等;55%的充电桩APP存在敏感信息泄漏风险,用户输入的敏感信息可被第三方获取;45%的Android版应用未对代码采用加密措施,可以通过反编译工具获取业务代码,导致APP业务功能或流程被恶意编排,危及用户隐私信息及财产安全。
3.可靠性方面,不同充电桩APP断掉网络或蓝牙连接后,充电控制界面显示情况不同,部分APP在恢复连接后需要重新登录进入充电控制界面;部分充电桩APP在使用过程中出现假死、闪退等现象,充电桩APP在假死状态时不能控制停止充电,存在安全隐患。
4.易用性方面,部分充电桩APP无“充电枪归位”提示,充电结束后,若充电枪未归位,充电桩不可再次使用;部分APP未给出充电资费说明、使用说明等提示,用户使用不便捷;部分APP无用户反馈、投诉建议、客服电话、帮助以及收藏等辅助功能。
5.兼容性方面,11款充电桩APP中,每个充电桩APP均只支持一个运营商的充电服务,不能兼容多个运营商的充电服务。
6.流通渠道方面,共监测404个应用发布流通渠道,有82个渠道发布了本次被测的11款充电桩APP(Android版应用),可见这11款充电桩APP的Android版应用在流通渠道中占比并不高,远低于新闻传媒、社交娱乐类应用;其中7个渠道通过监测发现存在被篡改的充电桩APP;监测到的11款充电桩APP的Android版应用有126个版本共计1300个应用,确定为正版的应用有1154个,确定为被篡改的应用有8个,疑似为被篡改的应用为138个,篡改及疑似篡改占比11%。监测到被篡改的应用均是未通过完整性校验、反编译防范、敏感数据残留、通信协议、重放攻击检测项的应用,该类应用用户下载量较高,却缺乏相应的数据加密和应用加固的措施。
相关文章
[错误报告][推荐][收藏] [打印] [关闭] [返回顶部]
已有
