中国女黑客一口气黑掉4款共享单车App:结果太恐怖
2022/5/25 15:59:36
小鸣、永安行、享骑和百拜四款共享单车的 app 被女程序员"tyy"轻松破解,然后黑客就可以随意用你的 app 远程骑车了,反正花的是你的钱。最重要的是,你实名认证的各种个人信息也在他们那里开始了裸奔。
5 月 13 日,就在"wannacry"敲诈者木马席卷全球的时候,2017 国际安全极客大赛 GeekPwn 年中赛在公海上举行,来自多个国家的选手——其中中国选手居多——开始"炫技"。
在这场比赛中,tyy 是唯一的女选手,她选择的项目是目前互联网创投圈最火热的共享单车,因此,她在现场赢得了足够多的关注,在最后的大众投票环节,她获得了最佳表现奖。
女黑客一口气黑掉 4 款共享单车 App:结果太恐怖
tyy 入侵了评委万涛手机上预装的上述共享单车 app,包括万涛的历史骑行路径、骑行时间、GPS 定位、账户余额和注册账户信息等都被她轻松掌握,然后她远程连线在上海的同事,把信息同步到同事的手机上,同事就可以拿着 app 扫码开锁,骑着车去溜达,而用户却毫无感知。
另外,她还可以让 app 一直处于打开状态几天甚至十几天,让被入侵的 app 一直持续消费下去,金钱损失失效,被当傻子的感觉还是挺让人郁闷的。
据悉,这些安全漏洞已提交给上述几款共享单车团队。
当虎嗅问 tyy 有没有研究过目前共享单车领域最火的摩拜和 ofo 的 app 时,tyy 告诉虎嗅:"其实我最早发现的是摩拜,但是我是早上发现的,然后它晚上就修复了。"
这个漏洞发生在 4 月初,当时 tyy 早上发现了摩拜 app 的一个漏洞,然后中午的时候她发现对方的服务器开始变慢,当时她就预感到可能摩拜 app 在更新,结果晚上果然就修复了她发现的漏洞。
tyy 谈到为何选择共享单车作为攻击目标时说:"我自己是个程序员,我也是一个共享单车用户。我用的时候就想,如果这是我自己写的应用,有哪些可能被攻击、需要修复,然后就做了这样的尝试。我一个月的时间看了十几款单车,现在有问题的是 7 款,今天演示了 4 款,我判断另外 3 款也有问题,但是没有进行全部的验证。"
从去年年中,共享单车概念突然热了起来,一觉醒来发现上海、北京的大街小巷多了许多橙色和黄色单车,以 1 元骑车、0.5 元骑车吸引着消费者去尝试。经过一年的时间,市面上出现了诸多追随者和模仿者,有的 xx 单车甚至直接模仿了摩拜和 ofo 单车的外观设计,换个颜色和 Logo 就算开张了。
在大量的资本快速涌入到这个还算稚嫩的行业后,拔苗助长了创业者的热情和急功近利,可能随便开发个 app,弄个几万辆车往大街上一放,就共享了,然后就可以找投资人爸爸要钱了。万涛说:"投资人应该看看我们的这个比赛。"
为何这么多共享单车 app 都出现了各种安全漏洞?tyy 说:"可能他们(创业者)太着急了吧。"
每一份新工作都是一次职业的飞跃,而且在我们这个行业中,高频跳槽本来就很常见。但是我前任,前前任,前前前任,前前前…任雇主对于我的辞职并不开心。有些甚至试图挽留我,但是我已经厌倦了,我真心无法继续留下来了。
2023/6/19 9:13:48
Microsoft 发布了采集自 .NET Core SDK 用户的遥测原始数据集。数据集的时间跨度是从 2016 年第三季度到 2017 年第二季度,为了解当前开发人员使用 SDK 的情况提供了一个视角
2023/6/5 9:10:20
Windows 10 创意者更新定于下半年推送,目前传言其版本号为 version 1709,预计最快 8 月底最迟 9 月发布。
2023/6/5 9:09:51
创新工场创始人兼 CEO 李开复博士在《华盛顿邮报》撰文称,人工智能革命即将到来,这可能是一个最好的时代,也可能是最坏的时代。
2023/5/29 9:11:26
互联网新兴设计人才白皮书
2023/5/24 9:16:14
近日一位谷歌工程师在工作中发现,他的 Windows 10 系统在 Intel 24 核心 48 线程处理器、64GB 内存、高速 SSD 等超强硬件配置下,处理起普通编译任务时竟然也出现了卡顿现象,有时竟然连鼠标也动不了。
2022/5/25 15:59:36