在近日舉行的2017國際安全極客大賽GeekPwn年中賽上,浙大電腦係畢業的女“駭客”tyy(化名)花了不到一分鐘的時間,攻破了評委手機預裝的小鳴、永安行、享騎和百拜等4款共用單車的App。
錢被盜用,用戶的個人資訊也會暴露
App能夠被黑意味著,駭客可以利用共用單車App存在的安全漏洞,用別人的賬號遠端騎車,用的也是別人的錢。
最重要的是,駭客直接獲取了用戶的賬號密碼、騎行路線、GPS定位、賬號餘額等個人資訊,這些個人資訊的洩露可能導致用戶經常接到推銷電話、垃圾短信,嚴重的還有詐騙和其他App賬戶被盜的可能。
用戶對此不會有任何察覺
在國際安全極客大賽現場,女“駭客”tyy(化名)利用共用單車App的漏洞,順利“黑”入了評委手機上的4款共用單車App,提取了對方包括歷史騎行路徑、騎行時間、GPS定位、賬戶餘額和註冊賬戶資訊等在內的個人資訊。
同時,她將這些資訊同步到了一名同伴的手機上,之後這名位於上海的同伴就拿著同款App,用著評委被黑的賬號,順利騎上了共用單車,而評委這邊則沒有任何提示。
tyy稱,App可以這樣一直消費下去,且被入侵的用戶不會有任何察覺。她表示,她用了一個月的時間看了十幾款共用單車,這種情況在共用單車App上非常普遍,目前演示了4款,推測另外幾款也有類似的問題。
漏洞已提交相應的App團隊
4月初,她首先發現摩拜單車存在安全漏洞,但不久後摩拜將漏洞修復,她又隨機測試了眾多品牌單車,發現小鳴單車、永安行、享騎和百拜單車也存在該問題,這四款單車的漏洞不同,但結果相同。
tyy談到為何選擇共用單車作為攻擊目標時説:“我自己是個程式員,我也是一個共用單車用戶。我用的時候就想,如果這是我自己寫的應用,有哪些可能被攻擊、需要修復,然後就做了這樣的嘗試。我一個月的時間看了十幾款單車,現在有問題的是7款,今天演示了4款,我判斷另外3款也有問題,但是沒有進行全部的驗證。
為什麼這麼多共用單車的App都有安全問題?tyy表示,可能是創業者們都太著急了,並沒有週全細緻地開發App,只是想著將産品快速投入市場。
目前,tyy已經將發現的漏洞都提交給了相應的共用單車團隊,希望他們能及時修復漏洞。
習慣設置通用賬號密碼,風險更大
作者下載並體驗了多款共用單車App發現,用戶資訊主要涉及三方面:用戶的手機號、地理位置資訊(家庭、公司地址)和個人賬戶資訊,部分需要實名認證的共用單車還涉及身份證資訊。
用戶的歷史騎車路徑、GPS定位、實名認證等資訊遭洩露,相當於用戶的真實姓名、手機號、住址、工作單位都被駭客所掌控。這些資訊可能會被拿到黑市上販賣,不法分子就會根據用戶地理位置展開精準的賣房、賣車推銷,給用戶發送垃圾短信、垃圾郵件,嚴重的還會發生詐騙及賬戶被盜。
使用App如何防範個人資訊洩露?
1、APP分等級管理,設置不同的賬號密碼
很多人微信賬號有工作號和生活號,建議APP最好分類隔離資訊管理,分成涉及資金類的APP和一般APP,設置兩套不同的賬戶和密碼。
將APP區別不同的安全等級並設置不同的賬戶密碼,可防止連環盜號。
2、不要隨意登錄免費wifi,隨意刷二維碼
下載APP時最好從官方網站上下載或通過合格經營的第三方應用市場下載並適當查核發佈者的資質,在平時使用APP時不要隨意登錄假Wifi,隨意刷二維碼,不經查核就登錄釣魚網站,以及圖貪便宜購買假冒的移動終端硬體等。
3、APP通過正規渠道下載
山寨APP或存在竊取個人資訊、惡意扣費等問題,建議用戶通過應用商店下載而不要通過網路搜索下載;對於陌生的APP最好提前了解甄別,以防落入山寨陷阱。遇到山寨APP欺詐的,及時予以舉報維權。
4、儘量關閉應用的敏感許可權
要加強網路安全意識,下載手機應用要認準知名應用商店,安裝應用後查看應用開放的許可權,讀取通訊錄、讀取短信通話記錄等敏感許可權儘量關閉。
加強網路安全意識,
涉及到金錢的app要設置不同的密碼,
加強保護!
未經允許不得轉載:網信浙江 » 厲害!浙江女駭客1分鐘攻破4款常用App 錢被盜用 用戶還永遠不會知道