女黑客一口气黑掉4款共享单车app的背后

虎嗅APP · 公众号 · 科技媒体 · 2017-05-15 08:09

正文

小鸣单车、永安行、享骑和百拜四款共享单车的app被女程序员“tyy”轻松破解，然后黑客就可以随意用你的app远程骑车了，反正花的是你的钱。最重要的是，你实名认证的各种个人信息也在他们那里开始了裸奔。

5月13日，就在“wannacry”敲诈者木马席卷全球的时候，2017国际安全极客大赛GeekPwn年中赛在公海上举行，来自多个国家的选手——其中中国选手居多——开始“炫技”。

在这场比赛中，tyy是唯一的女选手，她选择的项目是目前互联网创投圈最火热的共享单车，因此，她在现场赢得了足够多的关注，在最后的大众投票环节，她获得了最佳表现奖。

tyy入侵了评委万涛手机上预装的上述共享单车app，包括万涛的历史骑行路径、骑行时间、GPS定位、账户余额和注册账户信息等都被她轻松掌握，然后她远程连线在上海的同事，把信息同步到同事的手机上，同事就可以拿着app扫码开锁，骑着车去溜达，而用户却毫无感知。

另外，她还可以让app一直处于打开状态几天甚至十几天，让被入侵的app一直持续消费下去，金钱损失失效，被当傻子的感觉还是挺让人郁闷的。

据悉，这些安全漏洞已提交给上述几款共享单车团队。

当虎嗅问tyy有没有研究过目前共享单车领域最火的摩拜和ofo的app时，tyy告诉虎嗅：“其实我最早发现的是摩拜，但是我是早上发现的，然后它晚上就修复了。”

这个漏洞发生在4月初，当时tyy早上发现了摩拜app的一个漏洞，然后中午的时候她发现对方的服务器开始变慢，当时她就预感到可能摩拜app在更新，结果晚上果然就修复了她发现的漏洞。

tyy谈到为何选择共享单车作为攻击目标时说：“我自己是个程序员，我也是一个共享单车用户。我用的时候就想，如果这是我自己写的应用，有哪些可能被攻击、需要修复，然后就做了这样的尝试。我一个月的时间看了十几款单车，现在有问题的是7款，今天演示了4款，我判断另外3款也有问题，但是没有进行全部的验证。”

从去年年中，共享单车概念突然热了起来，一觉醒来发现上海、北京的大街小巷多了许多橙色和黄色单车，以1元骑车、0.5元骑车吸引着消费者去尝试。经过一年的时间，市面上出现了诸多追随者和模仿者，有的xx单车甚至直接模仿了摩拜和ofo单车的外观设计，换个颜色和Logo就算开张了。

在大量的资本快速涌入到这个还算稚嫩的行业后，拔苗助长了创业者的热情和急功近利，可能随便开发个app，弄个几万辆车往大街上一放，就共享了，然后就可以找投资人爸爸要钱了。万涛说：“投资人应该看看我们的这个比赛。”

为何这么多共享单车app都出现了各种安全漏洞？tyy说：“可能他们（创业者）太着急了吧。”

一个推荐

推荐文章

深响 · 春晚与品牌，都想「变年轻」

昨天

腾讯科技 · DeepSeek到底怎么用？这里有一份快速指南请收好

昨天

钛媒体 · 阿里、小红书、b站争夺“独家”，春晚十年“冠名”折射巨头变迁

3 天前

创业邦 · DeepSeek深夜再放大招！文生图大模型炸裂登场；英伟达一夜市值蒸发超4万亿元；迅雷将以5亿元价格收购虎扑丨邦早报

4 天前

新浪科技 · 【#我国蝉联12年全球最大网络零售市场#】国新办 24 日召开新-20250126205000

5 天前

全球局势战略纵横 · 此DV机功能太过强大，比打火机还要小巧，请勿用于偷拍！

8 年前

金错刀 · 爆品·每周一课丨中国式创业最终还是要回归产品！

7 年前

新加坡眼 · 新加坡输了！马来西亚麦当劳推出D24榴莲麦旋风

7 年前

食尚知味 · 每天坚持这九件事，你会越来越顺！

6 年前

深夜书屋 · 你越是逃避，就越会碰壁

6 年前