|
90后女黑客发现7款有漏洞 成功攻击4款后台刷出骑行消费记录 小鸣、享骑、百拜三家企业回复称正修复漏洞
被攻击手机上显示没有任何骑行消费记录,随后用攻击手机去扫单车上的开锁二维码
攻击手机扫开单车锁,完成一次骑行后,被攻击手机上就出现了一次骑行消费记录
只需要一分钟,共享单车的漏洞就被黑客攻陷,用户个人信息被盗取,账户被盗刷。近日,有媒体报道在极客大赛“GeekPwn”年中赛上,小鸣单车、永安行、享骑和百拜四款共享单车APP的漏洞被网名为“tyy”的女程序员轻松破解。利用应用程序的漏洞,tyy直接获取了用户的个人资料,并现场远程连线,演示利用他人账户,实现开锁、骑行的过程。
前日,记者联系到网名为“tyy”的女黑客小谭,她表示:“利用漏洞实现攻击,一分钟甚至更短就可以。”
而被攻击的单车企业则表示,对存在的漏洞正在进行修复。
实况 共享单车后台被他人登录 账户被盗刷
极客大赛主办方提供的演示视频显示,黑客在电脑上操作攻击APP的漏洞,被攻击的手机后台就会出现在黑客控制的手机上,后台显示了被攻击者的账户余额等信息。随后,黑客通过对漏洞的攻击,用自己的手机扫了单车的二维码进行开锁,此时再查看被攻击者的账户记录,发现被攻击者的账户上多了一条骑行消费记录。
接受《法制晚报》(微信ID:fzwb_52165216)记者采访时,女黑客小谭回忆当时的比赛现场:“评委老师在现场用自己的手机使用共享单车APP,我在电脑上操作,利用APP的程序漏洞,攻击评委老师的应用后台,我就拿到了他的账户余额、骑行记录。”另外,身在香港参加比赛的tyy还在现场远程连线在上海的朋友,演示了攻击APP账户后骑行消费的过程。tyy讲述道:“我把自己通过漏洞掌握的信息,同步给上海的朋友,上海的朋友演示扫码骑车,并攻击了评委的APP账户,随后让评委刷新他的骑行记录,就发现他多了一条骑行消费的行程。”
对话 十余款共享单车 7款有漏洞问题
2015年毕业于浙江大学计算机专业的小谭如今在上海当一名程序员。“我念书的时候学校还没有信息安全这个专业,之前也没有搞过信息安全相关的内容。”对于如何发现共享单车的漏洞,小谭称:“现在共享单车很火,我自己也在用,而且我会写代码,我就想如果这APP是我做,别人会怎么攻击它呢?我就把市面上的APP差不多都尝试了一下。”
小谭在大概一个月时间里,尝试攻击了十几款共享单车APP,最终她发现其中7款有问题,比赛中,她选择了小鸣单车、永安行、享骑和百拜这四款,“剩下的三款不便于在大赛上演示,是因为有的车辆很少,并没有很完整的攻击链,所以没有拿到比赛上,但以我的代码经验来看,是有问题的。剩余的这三款的名称,我现在也记不清了。”
小谭回忆,她最早看出问题的是摩拜单车,“我是某个周五早上看出来有漏洞,摩拜修复得很快,他们在当天晚上就修复了,我再试验的时候,他们的漏洞已经修好了。” 共2页 [1] [2] 下一页 发改委:对严重违法失信者限制使用共享单车 比达咨询黑幕曝光或涉ofo 暗箱操作共享单车数据报告 共享单车建“黑名单” 你还敢“任性骑”吗? 一个跑一个闹 两女子骑共享单车逆行拒缴罚款 北京公共自行车受共享单车冲击:退卡量增一倍 搜索更多: 共享单车 |
