适用于联网汽车的移动应用提供多种功能，能够让驾车人的生活变得更为轻松，但是这些应用也可能成为风险的来源。卡巴斯基专家分析了69款产检的用于控制联网汽车的第三方移动应用，并定义了驾驶员在使用它们时可能面临的主要威胁。他们发现，超过一半（58%）的应用在没有征得车主同意的情况下使用车主的凭证。最重要的是，五分之一的应用没有联系人信息，这使得人们无法报告问题。这些以及其他发现都发布在最新的卡巴斯基联网应用报告中。

联网汽车应用提供了广泛的功能，能够让驾驶员的生活更轻松。例如，这些应用能够让用户通过锁定和解锁车门、调节气候控制、启动和关闭引擎等操作来远程控制他们的车辆。即使大多数车辆制造商都为他们制造的车辆推出了自身合法的应用程序，但由移动开发者设计的第三方应用在用户中仍然很受欢迎，一位内这些应用可能提供汽车制造商尚未推出的独特功能。

卡巴斯基分析的第三方应用程序几乎涵盖了所有主要汽车品牌，其中特斯拉、尼桑、雷诺、福特和大众是此类应用最常控制的五大汽车品牌。但是，卡巴斯基研究人员表示，使用这些应用并不完全安全。

这家公司的专家检查了69款为联网汽车设计的第三方应用，并确定了驾驶员在使用这些应用程序时可能面临的主要隐私风险。他们发现，超过一半（58%）的应用没有警告使用原始汽车制造商服务中的车主账户的风险。

有些开发者建议使用授权令牌而不是用户名和密码，以便看起来更可靠。但是棘手的却是，如果令牌泄露，恶意行为者就可以同样使用受害者的凭证来访问车辆。这意味着，失去对车辆控制的风险仍然很高。用户应注意，一切风险都由他们自己承担，使用授权令牌并不能确保完全安全。尽管如此，但只有19%的第三方应用开发者会提到这一点，并警告用户，而没有把这一事实隐藏在多层条文中。

此外，七分之一（14%）的应用没有留下关于如何联系开发者或进行反馈的信息，因此无法报告问题或请求有关应用程序隐私政策的更多信息。官方联系信息以及社交网络页面的缺失明显表明，这些应用大多是由爱好者开发的，这不一定是一件坏事，但是，这类开发者不必像受监管的汽车制造商那样关心你的车辆安全和数据安全。

同样值得注意的是，69款应用中，有46款是免费的或提供演示模式。这促使此类应用程序从Google Play商店下载超过239,000次，这让人不禁要问，有多少人在让陌生人免费访问他们的汽车。

“互联世界的优势是数不胜数的。但是，要注意到这仍是一个发展中的行业，所以存在特定的风险，意识到这一点很重要。当下载一款第三方应用来远程控制你的车辆时，用户应当意识到可能存在的威胁。我们将大量私人信息和个人数据委托给互联技术。不幸的是，在数据存储和收集方面，并非所有的开发者都采取了负责任的态度，这就导致用户的个人信息被暴露。这些数据还可能进一步在暗网上被售卖，最终落入不可靠的人手中。不仅如此，网络罪犯可能不仅会窃取用户的数据和个人凭证，还会获取对你的车辆的访问权限——而这则可能导致人身威胁。基于这些原因，我们督促应用开发者将用户保护作为首先事项，采取预防措施，避免客户和自身数据遭到泄露，”卡巴斯基运输安全负责人Sergey Zorin评论说。

对应用开发者，卡巴斯基专家建议：

采用解决方案，通过在运行时控制应用程序、在部署前扫描漏洞、定期对容器进行安全审查以及对生产工件进行反恶意软件测试来确保软件开发过程的安全。随着最近通过公共存储库的供应链攻击变得越来越频繁，开发过程需要加强对外部干扰的保护。

卡巴斯基混合云安全可满足开发人员的需求。该解决方案能够保护Docker和Windows容器的安全，并提供 “安全即代码”的方法，包括容器化主机内存保护、容器的任务、图像扫描和可编写脚本接口。因此，用户可以将安全任务集成到 CI/CD 管道中，而不会影响开发过程。

在应用程序中实施保护机制。卡巴斯基移动SDK提供针对客户的数据保护以及恶意软件检测和安全连接等功能。

卡巴斯基专家建议联网车辆用户：

只从官方应用商店下载应用，例如苹果的App Store、Google的Google Play商店或亚马逊的Amazon Appstore。来自这些应用商店的应用程序并非100%安全，但它们至少会被商店代表检查，并且有一些过滤系统，这意味着并非每一款应用程序都能进入这些商店。

检查你所使用的应用程序的权限，在允许某个进程之前一定要认真考虑，特别是在涉及高风险权限时（例如访问无障碍服务）。举例来说，一款手电筒应用需要的唯一权限是访问手电筒功能。

使用一款可靠的安全解决方案来帮助检测恶意应用和广告软件，避免它们在您的设备上开始出现不良行为。

不要忘记定期更新您使用的操作系统和所有软件。很多安全问题都可以通过安装更新版本的软件来解决。