共享单车App存在安全漏洞 你的个人信息在裸奔

www.yingfu001.com 2017-05-17 06:41 赢富财经网我要评论

(原标题:共享单车App存在安全漏洞 你的个人信息在裸奔)

  浙大女“黑客”一分钟黑掉4款共享单车App

  习惯设置通用账号密码信息泄露风险更大

  在近日举行的2017国际安全极客大赛GeekPwn年中赛上,浙大计算机系毕业的女“黑客”花了不到一分钟的时间,攻破了评委手机预装的小鸣、永安行、享骑和百拜等4款共享单车的App。这意味着,黑客可以利用共享单车App存在的安全漏洞,用别人的账号远程骑车,用的也是别人的钱。最重要的是,黑客直接获取了用户的账号密码、骑行路线、GPS定位、账号余额等个人信息,这些个人信息的泄露可能导致用户经常接到推销电话、垃圾短信,严重的还有诈骗和其他App账户被盗的可能。

  在国际安全极客大赛上,女“黑客”tyy(化名)利用共享单车App的漏洞,顺利“黑”入了评委手机上的4款共享单车App,提取了对方包括历史骑行路径、骑行时间、GPS定位、账户余额和注册账户信息等在内的个人信息。

  同时,她将这些信息同步到了一名同伴的手机上,之后这名位于上海的同伴就拿着同款App,用着评委被黑的账号,顺利骑上了共享单车,而评委这边则没有任何提示。

  tyy称,App可以这样一直消费下去,且被入侵的用户不会有任何察觉。她表示,她用了一个月的时间看了十几款共享单车,这种情况在共享单车App上非常普遍,目前演示了4款,推测另外几款也有类似的问题。

  4月初,她首先发现摩拜单车存在安全漏洞,但不久后摩拜将漏洞修复,她又随机测试了众多品牌单车,发现小鸣单车、永安行、享骑和百拜单车也存在该问题,这四款单车的漏洞不同,但结果相同。

  为什么这么多共享单车的App都有安全问题?tyy表示,可能是创业者们都太着急了,并没有周全细致地开发App,只是想着将产品快速投入市场。

  目前,tyy已经将发现的漏洞都提交给了相应的共享单车团队,希望他们能即时修复漏洞。

  2015年的3·15晚会上,Wi-Fi的网络安全问题被推到了风口浪尖。晚会现场的观众利用手机连接现场的伪装Wi-Fi,安全工程师模仿黑客通过Wi-Fi抓取了现场观众手机上的照片、邮箱地址甚至密码等信息。

  tyy攻破共享单车App,也是通过同一Wi-Fi下,与陌生用户手机相连,仅仅用了几秒钟,该用户此前的骑行记录便显示在她的电脑上。tyy还表示,小鸣和百拜单车即使不在同一Wi-Fi下也能完成这些操作。

  去年开始,杭州街头小巷多了各种颜色的共享单车,它们随处可借又是无桩停车,便捷并且租金低,圈了不少粉。虽然共享单车的花费不高,但涉及个人隐私泄露,还是让共享单车的用户捏把汗。

  记者下载并体验了多款共享单车App发现,用户信息主要涉及三方面:用户的手机号、地理位置信息(家庭、公司地址)和个人账户信息,部分需要实名认证的共享单车还涉及身份证信息。

  用户的历史骑车路径、GPS定位、实名认证等信息遭泄露,相当于用户的真实姓名、手机号、住址、工作单位都被黑客所掌控。根据tyy和阿里云专家的说法,这些信息可能会被拿到黑市上贩卖,不法分子就会根据用户地理位置展开精准的卖房、卖车推销,给用户发送垃圾短信、垃圾邮件,严重的还会发生诈骗及账户被盗。

  而现在很多用户习惯设置一个通用账号、密码,即所有的App都同用一个账号和密码,如果黑客获取了这部分信息,是否意味着黑客能登录你所有的社交、购物甚至支付App?

  “这取决于App的安全性,它能否有一个相应的安全解决方案。一般来说,App在另一台设备登录,都会有手机、邮箱、人脸识别等验证方式,不会有单个App的账号密码泄露导致其他App被攻破的可能,但是如果企业存在这方面的漏洞,可能就有一定的风险。”阿里云安全专家说。

  (责任编辑:DF101)

共享单车App存在安全漏洞 你的个人信息在裸奔

    相关新闻
    • 征稿启事 | 合作伙伴 | 友情链接 | 联系我们 | 广告服务 | 关于我们 | 法律声明 | 网址导航 | 虞凌云
    • 赢富财经网:www.yingfu001.com 简易域名:简易域名 版权所有 翻版必究!Copyright©2008-2022 沪ICP备10023616号-1
    • 赢富财经网所载文章、数据仅供参考,使用前务请仔细阅读免责声明,风险自负。广告商的言论和行为与赢富财经网无关,投资有风险,选择需谨慎。
    • 特别提示:赢富财经网不作任何“加入会员、承诺收益、利润分成”以及其他非法操作方式进行非法的理财服务。
    • 您有任何建议或意见,欢迎随时与我们联系!联系我们
    • 上海网警网络110工商备案360安全检测