在近日舉行的2017國際安全極客大賽GeekPwn年中賽上,浙大計算機系畢業的女「黑客」tyy(化名)花了不到一分鐘的時間,攻破了評委手機預裝的小鳴、永安行、享騎和百拜等4款共享單車的App。
App能夠被黑意味著,黑客可以利用共享單車App存在的安全漏洞,用別人的帳號遠程騎車,用的也是別人的錢。
最重要的是,黑客直接獲取了用戶的帳號密碼、騎行路線、GPS定位、帳號餘額等個人信息,這些個人信息的洩露可能導致用戶經常接到推銷電話、垃圾簡訊,嚴重的還有詐騙和其他App帳戶被盜的可能。
在國際安全極客大賽現場,女「黑客」tyy(化名)利用共享單車App的漏洞,順利「黑」入了評委手機上的4款共享單車App,提取了對方包括歷史騎行路徑、騎行時間、GPS定位、帳戶餘額和註冊帳戶信息等在內的個人信息。
同時,她將這些信息同步到了一名同伴的手機上,之後這名位於上海的同伴就拿著同款App,用著評委被黑的帳號,順利騎上了共享單車,而評委這邊則沒有任何提示。
tyy稱,App可以這樣一直消費下去,且被入侵的用戶不會有任何察覺。她表示,她用了一個月的時間看了十幾款共享單車,這種情況在共享單車App上非常普遍,目前演示了4款,推測另外幾款也有類似的問題。
4月初,她首先發現摩拜單車存在安全漏洞,但不久後摩拜將漏洞修復,她又隨機測試了眾多品牌單車,發現小鳴單車、永安行、享騎和百拜單車也存在該問題,這四款單車的漏洞不同,但結果相同。
tyy談到為何選擇共享單車作為攻擊目標時說:「我自己是個程式設計師,我也是一個共享單車用戶。我用的時候就想,如果這是我自己寫的應用,有哪些可能被攻擊、需要修復,然後就做了這樣的嘗試。我一個月的時間看了十幾款單車,現在有問題的是7款,今天演示了4款,我判斷另外3款也有問題,但是沒有進行全部的驗證。
為什麼這麼多共享單車的App都有安全問題?tyy表示,可能是創業者們都太著急了,並沒有周全細緻地開發App,只是想著將產品快速投入市場。
目前,tyy已經將發現的漏洞都提交給了相應的共享單車團隊,希望他們能及時修復漏洞。
記者下載並體驗了多款共享單車App發現,用戶信息主要涉及三方面:用戶的手機號、地理位置信息(家庭、公司地址)和個人帳戶信息,部分需要實名認證的共享單車還涉及身份證信息。
用戶的歷史騎車路徑、GPS定位、實名認證等信息遭洩露,相當於用戶的真實姓名、手機號、住址、工作單位都被黑客所掌控。這些信息可能會被拿到黑市上販賣,不法分子就會根據用戶地理位置展開精準的賣房、賣車推銷,給用戶發送垃圾簡訊、垃圾郵件,嚴重的還會發生詐騙及帳戶被盜。
1、APP分等級管理,設置不同的帳號密碼
很多人微信帳號有工作號和生活號,建議APP最好分類隔離信息管理,分成涉及資金類的APP和一般APP,設置兩套不同的帳戶和密碼。
將APP區別不同的安全等級並設置不同的帳戶密碼,可防止連環盜號。
2、不要隨意登錄免費wifi,隨意刷二維碼
下載APP時最好從官方網站上下載或通過合格經營的第三方應用市場下載並適當查核發布者的資質,在平時使用APP時不要隨意登錄假Wifi,隨意刷二維碼,不經查核就登錄釣魚網站,以及圖貪便宜購買假冒的移動終端硬體等。
3、APP通過正規渠道下載
山寨APP或存在竊取個人信息、惡意扣費等問題,建議用戶通過應用商店下載而不要通過網絡搜索下載;對於陌生的APP最好提前了解甄別,以防落入山寨陷阱。遇到山寨APP欺詐的,及時予以舉報維權。
4、儘量關閉應用的敏感權限
要加強網絡安全意識,下載手機應用要認準知名應用商店,安裝應用後查看應用開放的權限,讀取通訊錄、讀取簡訊通話記錄等敏感權限儘量關閉。
加強網絡安全意識,
涉及金錢的app設置不同的密碼,
加強保護!
同意的猛戳下方大拇指吧~