都市快報
2017-05-16 15:38
作者:王瀟瀟
在近日舉行的2017國際安全極客大賽GeekPwn年中賽上, 浙大電腦系畢業的女“駭客"花了不到一分鐘的時間, 攻破了評委手機預裝的小鳴、永安行、享騎和百拜等4款共用單車的App。 這意味著, 駭客可以利用共用單車App存在的安全性漏洞, 用別人的帳號遠端騎車, 用的也是別人的錢。 最重要的是, 駭客直接獲取了使用者的帳號密碼、騎行路線、GPS定位、帳號餘額等個人資訊, 這些個人資訊的洩露可能導致使用者經常接到推銷電話、垃圾短信, 嚴重的還有詐騙和其他App帳戶被盜的可能。
不僅可以刷別人的錢騎車 使用者的個人資訊也暴露了
在國際安全極客大賽上, 女“駭客"tyy(化名)利用共用單車App的漏洞, 順利“黑"入了評委手機上的4款共用單車App, 提取了對方包括歷史騎行路徑、騎行時間、GPS定位、帳戶餘額和註冊帳戶資訊等在內的個人資訊。
同時, 她將這些資訊同步到了一名同伴的手機上,
tyy稱, App可以這樣一直消費下去, 且被入侵的用戶不會有任何察覺。 她表示, 她用了一個月的時間看了十幾款共用單車, 這種情況在共用單車App上非常普遍, 目前演示了4款, 推測另外幾款也有類似的問題。
4月初, 她首先發現摩拜單車存在安全性漏洞, 但不久後摩拜將漏洞修復, 她又隨機測試了眾多品牌單車, 發現小鳴單車、永安行、享騎和百拜單車也存在該問題, 這四款單車的漏洞不同, 但結果相同。
為什麼這麼多共用單車的App都有安全問題?tyy表示, 可能是創業者們都太著急了,
目前, tyy已經將發現的漏洞都提交給了相應的共用單車團隊, 希望他們能即時修復漏洞。
習慣設置通用帳號密碼 資訊洩露風險更大
2015年的3·15晚會上, Wi-Fi的網路安全問題被推到了風口浪尖。 晚會現場的觀眾利用手機連接現場的偽裝Wi-Fi,
tyy攻破共用單車App, 也是通過同一Wi-Fi下, 與陌生用戶手機相連, 僅僅用了幾秒鐘, 該使用者此前的騎行記錄便顯示在她的電腦上。 tyy還表示, 小鳴和百拜單車即使不在同一Wi-Fi下也能完成這些操作。
去年開始, 杭州街頭小巷多了各種顏色的共用單車, 它們隨處可借又是無樁停車, 便捷並且租金低, 圈了不少粉。 雖然共用單車的花費不高, 但涉及個人隱私洩露, 還是讓共用單車的用戶捏把汗。
使用者的歷史騎車路徑、GPS定位、實名認證等資訊遭洩露, 相當於使用者的真實姓名、手機號、住址、工作單位都被駭客所掌控。 根據tyy和阿裡雲專家的說法, 這些資訊可能會被拿到黑市上販賣, 不法分子就會根據使用者地理位置展開精准的賣房、賣車推銷, 給用戶發送垃圾短信、垃圾郵件, 嚴重的還會發生詐騙及帳戶被盜。
而現在很多用戶習慣設置一個通用帳號、密碼, 即所有的App都同用一個帳號和密碼, 如果駭客獲取了這部分資訊,是否意味著駭客能登錄你所有的社交、購物甚至支付App?
“這取決於App的安全性,它能否有一個相應的安全解決方案。一般來說,App在另一台設備登錄,都會有手機、郵箱、人臉識別等驗證方式,不會有單個App的帳號密碼洩露導致其他App被攻破的可能,但是如果企業存在這方面的漏洞,可能就有一定的風險。"阿裡雲安全專家說。
編輯:童小童
如果駭客獲取了這部分資訊,是否意味著駭客能登錄你所有的社交、購物甚至支付App?“這取決於App的安全性,它能否有一個相應的安全解決方案。一般來說,App在另一台設備登錄,都會有手機、郵箱、人臉識別等驗證方式,不會有單個App的帳號密碼洩露導致其他App被攻破的可能,但是如果企業存在這方面的漏洞,可能就有一定的風險。"阿裡雲安全專家說。
編輯:童小童