【几维安全】共享单车安全漏洞频现 女黑客轻松破解4款共享单车app
5月13日,就在“wannacry”敲诈者木马席卷全球的时候,2017国际安全极客大赛GeekPwn年中赛在公海上举行,来自多个国家的选手开始迎战,其中中国选手居多——开始“炫技”。小鸣单车、永安行、享骑和百拜四款共享单车的app被女程序员“tyy”轻松破解,然后黑客获取你账号和密码就可以用你的app远程骑车,账户里面资金也会逐渐减少直到清零为止。几维安全-移动安全的高科技企业认为最重要的是,你实名认证的各种个人信息也在他们那里开始了裸奔。
在这场比赛中,tyy是唯一的女选手,她选择的项目是目前互联网创投圈最火热的共享单车,因此,她在现场赢得了足够多的关注,在最后的大众投票环节,她获得了最佳表现奖。
tyy入侵了评委万涛手机上预装的上述共享单车app,包括万涛的历史骑行路径、骑行时间、GPS定位、账户余额和注册账户信息等都被她轻松掌握,然后她远程连线在上海的同事,把信息同步到同事的手机上,同事就可以拿着app扫码开锁,骑着共享单车去溜达,而用户却毫无感知。
另外,她还可以让app一直处于打开状态几天甚至十几天,让被入侵的app一直持续消费下去,金钱损失失效。
据悉,这些安全漏洞已提交给上述几款共享单车团队。
当几维安全问tyy有没有研究过目前共享单车领域最火的摩拜和ofo的app时,tyy告诉几维安全:“其实我最早发现的是摩拜,但是我是早上发现的,然后它晚上就修复了。”
这个漏洞发生在4月初,当时tyy早上发现了摩拜app的一个漏洞,然后中午的时候她发现对方的服务器开始变慢,当时她就预感到可能摩拜app在更新,结果晚上果然就修复了她发现的漏洞。
tyy谈到为何选择共享单车作为攻击目标时说:“我自己是个程序员,我也是一个共享单车用户。我用的时候就想,如果这是我自己写的应用,有哪些可能被攻击、需要修复、需要加密,然后就做了这样的尝试。我一个月的时间看了十几款单车,现在有问题的是7款,今天演示了4款,我判断另外3款也有问题,但是没有进行全部的验证。”
从去年年中,共享单车概念突然热了起来,一觉醒来发现上海、北京的大街小巷多了许多橙色和黄色单车,以1元骑车、0.5元骑车吸引着消费者去尝试。经过一年的时间,市面上出现了诸多追随者和模仿者,有的xx单车甚至直接模仿了摩拜和ofo单车的外观设计,换个颜色和Logo就算开张了。但是他们的安全性能远远做的还不够,类似tyy程序员还有很多,随时可以轻松攻击你的移动应用,获取用户重要信息。
在大量的资本快速涌入到这个还算稚嫩的行业后,拔苗助长了创业者的热情和急功近利,可能随便开发个app,弄个几万辆车往大街上一放,就共享了,然后就可以找投资人爸爸要钱了。万涛说:“投资人应该看看我们的这个比赛。”
为何这么多共享单车app都出现了各种安全漏洞?tyy说:“可能他们(创业者)太着急了吧。”
最后几维安全认为,创业是一件非常好的事情,但前提条件是要保证移动应用的安全。企业和个人应及时修复漏洞给APP加密、加固做好充分防护工作,这样才能保护自己APP不受tyy攻击。
本文转自:http://www.kiwisec.com/news/detail/591c0955ab910847084044e7.shtml,转载时请注明出处。
【几维安全】共享单车安全漏洞频现 女黑客轻松破解4款共享单车app相关推荐
- 上汽赛可携手几维安全 赋能移动出行安全新业态
近日,几维安全与上汽赛可达成合作,几维安全将提供最新一代应用安全保护技术方案及安全咨询服务,为其品质出行服务平台「享道出行」安全保驾护航. 2018年11月,上汽集团官方宣布正式推出移动出行战略品牌「 ...
- 浅析轨道交通变电站运维安全及设备维护
摘要:加强轨道交通变电运维安全,做好设备维护管理工作,则需要建立智能巡视平台,完善变电网络结构,不断提高供电系统的安全质量,从而能确保变电设备的安全运行,同时也是保证列车安全.快速.有用运行和提升客运 ...
- 永恒之蓝病毒事件所引发的运维安全行业新思考
一.NSA "永恒之蓝" 勒索蠕虫全球爆发 2017年5月12日爆发的 WannaCry勒索病毒肆虐了全球网络系统,引起各国企业和机构极大恐慌.而这次受害最严重的是Windows系 ...
- 畅想物联网安全未来,几维安全让万物互联更安全
随着国家以及开发主体对于物联网安全的重视,物联网市场越来越规范,促使物联网安全市场需求规模迅速增长.在这样的背景下,必然会吸引大量企业进入物联网安全领域,为物联网安全注入新鲜血液,促进物联网的安全发展 ...
- 齐治运维安全培训【初级】练习题
齐治运维安全培训[初级]练习题 堡垒机支持以下哪些功能? 人员身份鉴别 访问权限控制 VPN 操作行为审计 对管理的服务器进行定期杀毒 哪些设备或系统能够通过堡垒机访问目标资产 手机 平板 Macos ...
- 几维安全等保2.0要点解析及落地实施技术攻略
2018年6月27日,公安部正式发布<网络安全等级保护条例(征求意见稿)>,标志着<网络安全法>所确立的网络安全等级保护制度有了具体的实施依据与有力抓手,标志着等级保护正式迈入 ...
- 学会linux需要哪些技术,运维安全需要掌握哪些技术呢?linux基础知识学习
随着IT技术和业务的发展,以及各式各样安全漏洞的涌现,运维与安全这两个专业日渐交融,各企业对于运维安全的重视程度越来越高.安全和运维是业务稳定运行的保障.运维安全的发展前景是非常广阔的,吸引了许多人开 ...
- 系统运维安全管理办法_运维安全管理系统-堡垒机
随着信息化的快速发展与普及,业务运行已于信息化系统密不可分,由于业务需求的不断拓展,信息化系统的建设也在不断深入与增长, 企业的业务系统变得日益复杂,信息化系统俨然已经成为了业务运行保障的重中之重,信 ...
- 从乌云看运维安全那点事儿
本文转自乌云知识库 0x00 背景 运维安全属于企业安全非常重要的一环. 这个环节出现问题,往往会导致非常严重的后果. 本文从乌云上提交的近2000个运维方面的漏洞总结了一下经常出问题的点. 希望各位 ...
最新文章
- R语言ggplot2可视化:可视化华夫饼图(Waffle Chart) 、华夫饼图可以直观地显示完成度(百分比)或者部分占整体的比例、华夫饼图适合于同类型指标的比较(Waffle Chart)
- python字典转字符串后里面的冒号还在吗_Python字典、字符串及列表的相互转换
- 嵌入式转linux服务器,嵌入式linux下web服务器搭建
- A - Tit for Tat CodeForces - 1516A
- [Unity]限制两个物体之间的距离
- django+layUI表格序号自动增加
- Linux编程(11)_信号
- es搜索准实时的理解
- C++ ------------------- string类介绍
- Verizon的野望
- 新闻与Android相关的话题,热门话题 - 换个角度看新闻 #iOS #Android
- 交换机与路由器技术-05-路由器工作原理
- DirectShow使用大全
- 同步和异步的区别是什么?
- 小程序setData数据量大时,导致卡顿怎么解决
- 《实施Cisco统一通信管理器(CIPT1)》——导读
- 如何使用Github的Action实现博客的自动部署
- Log4j2 zero day(CVE-2021-44228) 漏洞浅析
- 1188_什么是TVS管_瞬态抑制二极管
- 输入法编程指南(根据msdn翻译)