女程序員秒破4款共享單車App 余額押金安全嗎？

一名浙大女黑客，在一分鐘時間內(nèi)，就攻破了4款共享單車APP的漏洞。

近日，有媒體報道在極客大賽“GeekPwn”年中賽上，小鳴單車、永安行、享騎和百拜四款共享單車APP的漏洞被網(wǎng)名為“tyy”的女程序員輕松破解。利用應用程序的漏洞，tyy直接獲取了用戶的個人資料，并現(xiàn)場遠程連線，演示利用他人賬戶，實現(xiàn)開鎖、騎行的過程。

針對APP漏洞被破解的情況，小鳴單車方面發(fā)表聲明稱，“小鳴單車注意到了GeekPwn關于共享單車安全漏洞的相關報道，并在第一時間與GeekPwn官方取得了聯(lián)系，于14日晚間獲得了漏洞的相關信息，目前相關漏洞已經(jīng)緊急修復完畢。感謝GeekPwn和白帽黑客tyy對共享單車系統(tǒng)安全作出的努力。 ”

享騎電單車方面也表示，“已經(jīng)收到大賽主辦方發(fā)送的關于程序漏洞的郵件，我們在加緊修復了。”

tyy還透露，這四款APP攻擊漏洞難度并不一樣。

據(jù)悉，2015年畢業(yè)于浙江大學計算機專業(yè)的tyy如今在上海做程序員，在大概一個月時間里，她嘗試攻擊了十幾款APP，最終她發(fā)現(xiàn)其中7款有問題，但因為做了太多測試，除了上述4款APP，其余三款她已經(jīng)忘記。

tyy回憶，她最早看出問題的是摩拜單車，但摩拜修復得很快，在當天晚上就修復了，她再試驗時，摩拜的漏洞已經(jīng)修好。

記者了解到，這中間的關鍵在于被攻擊的手機連到了被tyy控制的WiFi上，她可以監(jiān)控該網(wǎng)絡上所有的數(shù)據(jù)流。如果共享單車APP傳遞的信息沒有加密或者加密信息被破解，信息就會暴露。

不是跟其他黑客在同一個WiFi就會被監(jiān)控，必須是這個WiFi已經(jīng)被黑客黑掉，是可以被監(jiān)控的。平時正常的比如聯(lián)通、移動的信號是不會有這樣的情況發(fā)生的，但是如果周圍有假基站的情況下，數(shù)據(jù)也有可能被監(jiān)控，但這種可能性很小。黑客造假基站更多地是想去黑支付寶、微信的信息，共享單車賬戶畢竟也沒幾個錢。

用戶充到共享單車賬戶內(nèi)的余額及押金，黑客并不能轉(zhuǎn)走，退錢也只能退回原來的銀行卡賬戶。但是黑客可以通過消費行為，也就是盜刷別人的賬戶，來花掉別人賬戶里充值的余額，比如利用他人賬戶，實現(xiàn)開鎖、騎行的過程。

其實不單是共享單車，所有的APP都有漏洞被破解的風險，主要就是看用戶的使用習慣，不知名的WiFi就不要連很多不專業(yè)的APP在設計過程中，對信息安全考慮不周，就有可能沒有對信息進行加密，導致用戶信息泄露。但比如支付寶因為牽涉到第三方支付，一定程度上跟銀行一樣，安全性很重要，所有信息都是加密的，信息安全性很高。

為了避免這樣的情況，APP在通訊上要做一些加密，太簡單的加密也容易被破解，一定是要有一定獨到之處的加密，基本上就解決了這個問題。

最后，3DM提醒用戶：不明來路的WiFi千萬不要連。