今日人物／女駭客秀絕技　一口氣駭掉4款共用單車App

:0:0

2017國際安全極客大賽GeekPwn年中賽在公海上舉行，大陸選tyy是唯一的女選手，她選擇駭客的項目是目前最紅的共用單車。大中小小鳴、永安行、享騎和百拜四款共用單車的app被女程式員『tyy』輕鬆破解，然後駭客就可以隨意用你的app遠端騎車了，反正花的是你的錢。最重要的是，你實名認證的各種個人資訊也在他們那裡開始了裸奔。根據快科技報導，5月13日，就在『wannacry』敲詐者木馬席卷全球的時候，2017國際安全極客大賽GeekPwn年中賽在公海上舉行，來自多個國家的選手—其中中國大陸選手居多，更開始『炫技』。在這場比賽中，tyy是唯一的女選手，她選擇的專案是目前互聯網創投圈最紅的共用單車，因此，她在現場贏得了足夠多的關注，在最後的大眾投票環節，她獲得了最佳表現獎。tyy入侵了評委萬濤手機上預裝的上述共用單車app，包括萬濤的歷史騎行路徑、騎行時間、GPS定位、帳戶餘額和註冊帳戶資訊等都被她輕鬆掌握，然後她遠端連線在上海的同事，把資訊同步到同事的手機上，同事就可以拿著app掃碼開鎖，騎著車去溜達，而用戶卻毫無感知。另外，她還可以讓app一直處於打開狀態幾天甚至十幾天，讓被入侵的app一直持續消費下去，金錢損失失效，被當傻子的感覺還是挺讓人鬱悶的。據悉，這些安全漏洞已提交給上述幾款共用單車團隊。當虎嗅問tyy有沒有研究過目前共用單車領域最火的摩拜和ofo的app時，tyy告訴虎嗅：『其實我最早發現的是摩拜，但是我是早上發現的，然後它晚上就修復了。』這個漏洞發生在4月初，當時tyy早上發現了摩拜app的一個漏洞，然後中午的時候她發現對方的伺服器開始變慢，當時她就預感到可能摩拜app在更新，結果晚上果然就修復了她發現的漏洞。tyy談到為何選擇共用單車作為攻擊目標時說：『我自己是個程式員，我也是一個共用單車用戶。我用的時候就想，如果這是我自己寫的應用，有哪些可能被攻擊、需要修復，然後就做了這樣的嘗試。我一個月的時間看了十幾款單車，現在有問題的是7款，今天演示了4款，我判斷另外3款也有問題，但是沒有進行全部的驗證。』從去年年中，共用單車概念突然熱了起來，一覺醒來發現上海、北京的大街小巷多了許多橙色和黃色單車，以1元（以人民幣計算，以下同）騎車、0.5元騎車吸引著消費者去嘗試。經過一年的時間，市面上出現了諸多追隨者和模仿者，有的xx單車甚至直接模仿了摩拜和ofo單車的外觀設計，換個顏色和Logo就算開張了。在大量的資本快速湧入到這個還算稚嫩的行業後，拔苗助長了創業者的熱情和急功近利，可能隨便開發個app，弄個幾萬輛車往大街上一放，就共用了，然後就可以找投資人爸爸要錢了。萬濤說：『投資人應該看看我們的這個比賽。』為何這麼多共用單車app都出現了各種安全漏洞？tyy說：『可能他們（創業者）太著急了吧。』