安全漏洞頻現 女黑客一口氣黑掉4款共享單車app
小鳴單車、永安行、享騎和百拜四款共享單車的app被女程序員「tyy」輕鬆破解,然後黑客就可以隨意用你的app遠程騎車了,反正花的是你的錢。最重要的是,你實名認證的各種個人信息也在他們那裡開始了裸奔。5月13日,就在「wannacry」敲詐者木馬席捲全球的時候,2017國際安全極客大賽GeekPwn年中賽在公海上舉行,來自多個國家的選手——其中中國選手居多——開始「炫技」。
在這場比賽中,tyy是唯一的女選手,她選擇的項目是目前互聯網創投圈最火熱的共享單車,因此,她在現場贏得了足夠多的關注,在最後的大眾投票環節,她獲得了最佳表現獎。
tyy入侵了評委萬濤手機上預裝的上述共享單車app,包括萬濤的歷史騎行路徑、騎行時間、GPS定位、賬戶餘額和註冊賬戶信息等都被她輕鬆掌握,然後她遠程連線在上海的同事,把信息同步到同事的手機上,同事就可以拿著app掃碼開鎖,騎著車去溜達,而用戶卻毫無感知。
另外,她還可以讓app一直處於打開狀態幾天甚至十幾天,讓被入侵的app一直持續消費下去,金錢損失失效,被當傻子的感覺還是挺讓人鬱悶的。
據悉,這些安全漏洞已提交給上述幾款共享單車團隊。
當虎嗅問tyy有沒有研究過目前共享單車領域最火的摩拜和ofo的app時,tyy告訴虎嗅:「其實我最早發現的是摩拜,但是我是早上發現的,然後它晚上就修復了。」
這個漏洞發生在4月初,當時tyy早上發現了摩拜app的一個漏洞,然後中午的時候她發現對方的伺服器開始變慢,當時她就預感到可能摩拜app在更新,結果晚上果然就修復了她發現的漏洞。
tyy談到為何選擇共享單車作為攻擊目標時說:「我自己是個程序員,我也是一個共享單車用戶。我用的時候就想,如果這是我自己寫的應用,有哪些可能被攻擊、需要修復,然後就做了這樣的嘗試。我一個月的時間看了十幾款單車,現在有問題的是7款,今天演示了4款,我判斷另外3款也有問題,但是沒有進行全部的驗證。」
從去年年中,共享單車概念突然熱了起來,一覺醒來發現上海、北京的大街小巷多了許多橙色和黃色單車,以1元騎車、0.5元騎車吸引著消費者去嘗試。經過一年的時間,市面上出現了諸多追隨者和模仿者,有的xx單車甚至直接模仿了摩拜和ofo單車的外觀設計,換個顏色和Logo就算開張了。
在大量的資本快速湧入到這個還算稚嫩的行業後,拔苗助長了創業者的熱情和急功近利,可能隨便開發個app,弄個幾萬輛車往大街上一放,就共享了,然後就可以找投資人爸爸要錢了。萬濤說:「投資人應該看看我們的這個比賽。」
為何這麼多共享單車app都出現了各種安全漏洞?tyy說:「可能他們(創業者)太著急了吧。」
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※3D肉類印表機製作不一樣的好味道
※專家談勒索病毒:獲利渠道不切斷可能還會遭攻擊
TAG:cnbeta |
※ERC20溢出漏洞頻現 是黑客太牛還是合約安全不堪一擊?
※安全漏洞頻現?用機器黑客保障網路安全,實現機器的自我突破
※區塊鏈行業漏洞頻現 是黑客太牛還是合約安全不堪一擊?
※套牌計程車頻現 18分鐘車程硬說開了半小時 給了錢還被噴辣椒水
※美軍墳場頻現兩架黑色不明物 意外暴露40年前絕密戰機
※2019汽車質量問題曝三大焦點:發動機安全氣囊半軸隱患頻現
※美軍墳場頻現兩架黑色不明物,暴露40年前絕密戰機,殲20汗顏
※EOS漏洞頻現 區塊鏈真的安全嗎?
※9月小程序TOP100榜單:跳一跳被超越,小程序「黑馬」頻現
※首批P20Pro質量問題頻現:Mate10用戶這下心理平衡了
※一吻定兩億?黑馬頻現,2018香港蘇富比開心收賬
※K20系列出問題了?屏幕綠斑頻現要翻車?
※黑馬頻現!2018年十大爆款手游,總有一款你玩過!
※負面信號頻現 未來Facebook有可能淡出用戶的生活
※RW騷套路頻現!Doinb男刀無人能擋助隊擊敗BLG
※全球監管信號頻現 數字貨幣周跌20%
※英拉這次撞到了槍口上!頻頻現身為哪般
※18家銀行披露382家P2P存管情況 信息改動、數據打架現象頻現
※谷歌Pixel 3 XL開箱視頻現身,單攝已成定局
※AI Dota2雖完虐人類卻弱點頻現