共享单车平台安全漏洞浮现 威胁用户金钱隐私安全
共享单车平台安全漏洞浮现 威胁用户金钱隐私安全
随着共享单车布局的深入,如今在各大城市的街头上你都能看见它的影子,可以说如今共享单车已经融入到了市民的生活之中。不过在近日举行的2017国际安全极客大赛GeekPwn年中赛上,共享单车平台却被曝出存在巨大安全漏洞,一位女程序员仅用1分钟就直接攻破了共享单车的安全防御系统,直接获取用户的个人资料、免费骑车的过程,这也引起了外界极大的关注。
毕业于浙大计算机专业的“tyy” (化名)是此次参赛的唯一女黑客。在大赛上,她只用了一台电脑,在不到1分钟的时间里就获得了评委手机上关于小鸣单车、永安行、享骑和百拜四款共享单车的账户信息,包括骑行记录、行驶路径、账户余额等。随后,她现场连线了远在上海的朋友,展示了远程用现场评委的共享单车账号开锁、骑行消费。
tyy表示,她发现这四款单车都存在云端逻辑漏洞,可以通过篡改输入参数,进而直接访以及控制他人的账号。获取用户的个人账户信息后,登录自己的账户扫码骑车,扣除的却是别人账户的余额。这样的漏洞危害性不仅在于用户损失金钱,更重要的是用户隐私泄露。
在如此之短的时间就可以轻松破解,网络上对此议论纷纷,有分析人士认为,这暴露出共享单车云端的漏洞技术含量很低。近年我国 “风口”互联网行业发展速度远远大于技术发展速度,技术发展速度又远远大于安全能力发展的速度。可能有些行业实践超过美国十年,但安全能力却落后十年。
广告、内容合作请点这里:寻求合作
咨询·服务