女黑客登场:轻松破解APP,共享单车任我骑!
2017-05-29 21:33
316 查看
导读 | 小鸣、永安行、享骑和百拜四款共享单车的app被女程序员“tyy”轻松破解,然后黑客就可以随意用你的app远程骑车了,反正花的是你的钱。最重要的是,你实名认证的各种个人信息也在他们那里开始了裸奔。 |
5月13日,就在“wannacry”敲诈者木马席卷全球的时候,2017国际安全极客大赛GeekPwn年中赛在公海上举行,来自多个国家的选手——其中中国选手居多——开始“炫技”。
在这场比赛中,tyy是唯一的女选手,她选择的项目是目前互联网创投圈最火热的共享单车,因此,她在现场赢得了足够多的关注,在最后的大众投票环节,她获得了最佳表现奖。
tyy入侵了评委万涛手机上预装的上述共享单车app,包括万涛的历史骑行路径、骑行时间、GPS定位、账户余额和注册账户信息等都被她轻松掌握,然后她远程连线在上海的同事,把信息同步到同事的手机上,同事就可以拿着app扫码开锁,骑着车去溜达,而用户却毫无感知。
另外,她还可以让app一直处于打开状态几天甚至十几天,让被入侵的app一直持续消费下去,金钱损失失效,被当傻子的感觉还是挺让人郁闷的。
据悉,这些安全漏洞已提交给上述几款共享单车团队。
当虎嗅问tyy有没有研究过目前共享单车领域最火的摩拜和ofo的app时,tyy告诉虎嗅:“其实我最早发现的是摩拜,但是我是早上发现的,然后它晚上就修复了。”
这个漏洞发生在4月初,当时tyy早上发现了摩拜app的一个漏洞,然后中午的时候她发现对方的服务器开始变慢,当时她就预感到可能摩拜app在更新,结果晚上果然就修复了她发现的漏洞。
tyy谈到为何选择共享单车作为攻击目标时说:“我自己是个程序员,我也是一个共享单车用户。我用的时候就想,如果这是我自己写的应用,有哪些可能被攻击、需要修复,然后就做了这样的尝试。我一个月的时间看了十几款单车,现在有问题的是7款,今天演示了4款,我判断另外3款也有问题,但是没有进行全部的验证。”
<
4000
p>从去年年中,共享单车概念突然热了起来,一觉醒来发现上海、北京的大街小巷多了许多橙色和黄色单车,以1元骑车、0.5元骑车吸引着消费者去尝试。经过一年的时间,市面上出现了诸多追随者和模仿者,有的xx单车甚至直接模仿了摩拜和ofo单车的外观设计,换个颜色和Logo就算开张了。
在大量的资本快速涌入到这个还算稚嫩的行业后,拔苗助长了创业者的热情和急功近利,可能随便开发个app,弄个几万辆车往大街上一放,就共享了,然后就可以找投资人爸爸要钱了。万涛说:“投资人应该看看我们的这个比赛。”
为何这么多共享单车app都出现了各种安全漏洞?tyy说:“可能他们(创业者)太着急了吧。”
本文转载自:http://www.linuxprobe.com/femalehackertyyapp.html
免费提供最新Linux技术教程书籍,为开源技术爱好者努力做得更多更好:http://www.linuxprobe.com/
相关文章推荐
- 【几维安全】共享单车安全漏洞频现 女黑客轻松破解4款共享单车app
- 共享单车系统又被黑客盯上,多账户押金被盗
- 共享单车APP有哪些解决方案
- ReactNative 仿造 ofo 共享单车快速开发的app
- 大数据24小时:币安悬赏25万美元加密货币征求黑客信息,苹果地图整合179个城市共享单车数据
- 共享单车系统又被黑客盯上,多账户押金被盗
- 惊:黑客用6KB的Kon Boot轻松破解windows7开机密码
- React Native 仿 ofo 共享单车 App
- 共享单车开发晚了,你还要错过共享充电宝App开发吗?
- APP安全报告第四期:如果共享单车APP会泄漏敏感信息,你还会用吗?
- 极光大数据:2017年10月主流共享单车app运营报告(附下载)
- Android 轻松实现后台搭建+APP版本更新
- 9月27日云栖精选夜读:阿里云首推免费人脸识别SDK 让每个APP轻松拥有短视频AR特效
- 9月27日云栖精选夜读:阿里云首推免费人脸识别SDK 让每个APP轻松拥有短视频AR特效
- 累累白骨下,共享单车的困局
- 轻松破解路由表天书之经验谈
- 轻松共享文件--安装个人FTP服务器以共享文件
- 面向对象之共享单车项目
- 摩拜再融2.15亿美元,共享单车的终局会是什么?
- 轻松实现ADSL宽带多机共享