在近日举行的2017国际安全极客大赛GeekPwn年中赛上,浙大计算机系毕业的女“黑客”tyy(化名)花了不到一分钟的时间,攻破了评委手机预装的小鸣、永安行、享骑和百拜等4款共享单车的App。
不仅是钱的问题,用户的个人信息也暴露了
App能够被黑意味着,黑客可以利用共享单车App存在的安全漏洞,用别人的账号远程骑车,用的也是别人的钱。
最重要的是,黑客直接获取了用户的账号密码、骑行路线、GPS定位、账号余额等个人信息,这些个人信息的泄露可能导致用户经常接到推销电话、垃圾短信,严重的还有诈骗和其他App账户被盗的可能。
用户对此不会有任何察觉
在国际安全极客大赛现场,女“黑客”tyy(化名)利用共享单车App的漏洞,顺利“黑”入了评委手机上的4款共享单车App,提取了对方包括历史骑行路径、骑行时间、GPS定位、账户余额和注册账户信息等在内的个人信息。
同时,她将这些信息同步到了一名同伴的手机上,之后这名位于上海的同伴就拿着同款App,用着评委被黑的账号,顺利骑上了共享单车,而评委这边则没有任何提示。
tyy称,App可以这样一直消费下去,且被入侵的用户不会有任何察觉。她表示,她用了一个月的时间看了十几款共享单车,这种情况在共享单车App上非常普遍,目前演示了4款,推测另外几款也有类似的问题。
漏洞已提交相应的App团队
4月初,她首先发现摩拜单车存在安全漏洞,但不久后摩拜将漏洞修复,她又随机测试了众多品牌单车,发现小鸣单车、永安行、享骑和百拜单车也存在该问题,这四款单车的漏洞不同,但结果相同。
tyy谈到为何选择共享单车作为攻击目标时说:“我自己是个程序员,我也是一个共享单车用户。我用的时候就想,如果这是我自己写的应用,有哪些可能被攻击、需要修复,然后就做了这样的尝试。我一个月的时间看了十几款单车,现在有问题的是7款,今天演示了4款,我判断另外3款也有问题,但是没有进行全部的验证。
为什么这么多共享单车的App都有安全问题?tyy表示,可能是创业者们都太着急了,并没有周全细致地开发App,只是想着将产品快速投入市场。
目前,tyy已经将发现的漏洞都提交给了相应的共享单车团队,希望他们能即时修复漏洞。
习惯设置通用账号密码,信息泄露风险更大
记者下载并体验了多款共享单车App发现,用户信息主要涉及三方面:用户的手机号、地理位置信息(家庭、公司地址)和个人账户信息,部分需要实名认证的共享单车还涉及身份证信息。
用户的历史骑车路径、GPS定位、实名认证等信息遭泄露,相当于用户的真实姓名、手机号、住址、工作单位都被黑客所掌控。这些信息可能会被拿到黑市上贩卖,不法分子就会根据用户地理位置展开精准的卖房、卖车推销,给用户发送垃圾短信、垃圾邮件,严重的还会发生诈骗及账户被盗。
使用App如何防范个人信息泄露?
1、APP分等级管理,设置不同的账号密码
很多人微信账号有工作号和生活号,建议APP最好分类隔离信息管理,分成涉及资金类的APP和一般APP,设置两套不同的账户和密码。
将APP区别不同的安全等级并设置不同的账户密码,可防止连环盗号。
2、不要随意登录免费wifi,随意刷二维码
下载APP时最好从官方网站上下载或通过合格经营的第三方应用市场下载并适当查核发布者的资质,在平时使用APP时不要随意登录假Wifi,随意刷二维码,不经查核就登录钓鱼网站,以及图贪便宜购买假冒的移动终端硬件等。
3、APP通过正规渠道下载
山寨APP或存在窃取个人信息、恶意扣费等问题,建议用户通过应用商店下载而不要通过网络搜索下载;对于陌生的APP最好提前了解甄别,以防落入山寨陷阱。遇到山寨APP欺诈的,及时予以举报维权。
4、尽量关闭应用的敏感权限
要加强网络安全意识,下载手机应用要认准知名应用商店,安装应用后查看应用开放的权限,读取通讯录、读取短信通话记录等敏感权限尽量关闭。
来源:中国经济网 (ourcecn),综合都市快报、虎嗅网、东方财富网、人民网通信频道
合作、投稿、版权,请加微信:jinrongclass