在前不久的“GeekPwn”极客大赛年中赛上,小鸣单车、永安行、享骑和百拜四款共享单车APP的漏洞被网名为“tyy”的女程序员不到一分钟轻松破解。利用应用程序的漏洞,tyy直接获取了用户的个人资料,并现场远程连线,演示利用他人账户,实现开锁、骑行的过程。
在比赛后的采访上,tty也对于此次攻击的难度与过程进行了说明:“对网络传输这方面比较了解的人,如果拿到一些信息,并不好确定是否会完成后续的扫码、骑车这类操作,而且这四款APP攻击漏洞难度并不一样。个人在使用APP的过程中,我利用程序漏洞,抓取到需要的内容,可以很快获取个人信息,而且有几款APP即便退出登录、改密码也是没有用的。当时比赛是限时30分钟,我演示四个APP,没有详细算时间,我从拿到原始信息开始,并且逐个APP展示,中间也有一些重连服务器的耗时情况,比赛完成后,我并没有超时。”
从tty的描述中不难看出,这是一次可以利用APP自身存在的漏洞就进行快速攻击从而实现信息窃取甚至盗刷的过程。如此容易被攻破的共享单车APP,是“敌人”太狡猾还是“我方”太轻敌?
后续持续曝光的几款单车对于漏洞修复的速度来看,“敌人”真的没有那么狡猾。那么,如此被轻易攻破的原因究竟是什么呢:
第一,在于程序编码的问题,这一点,tty也有说明:“一些程序员可能不会想到这些问题,但如果有一些反向思维,有保护用户个人信息的意识,对信息安全有了解,可能这四款APP就避免了类似的漏洞”;
第二,在于功能与业务逻辑上的问题,Android 与IOS的相对开放、用户权限的设置等都会存在隐患;
第三,在于这些APP都没有选择专业的第三方加固平台对APP进行全方位的加固。如果选择专业的加固平台,那么在加固之前安全服务商就会对该APP的安全问题进行评估与反馈。除了针对这次被披露的漏洞攻击,黑客还会在用户使用的过程中进行多种形式的攻击。比如,过去我们经常听到的“薅羊毛”也会频发在共享单车这类软件上,当黑客采用模拟器去模拟用户大量刷约车红包,也会给企业造成一定的损失。
针对于以上三点,全球专业的移动信息安全服务提供商爱加密CEO郭训平表示:“APP从开发到上线的任何一个环节都会有安全风险,每个环节都不能忽视。所以APP安全应该覆盖整个移动APP生命周期,安全服务商要为被保护的企业提供一个安全闭环。在APP上线之前可以通过检测平台检测APP本身存在的漏洞,同时通过向专业的安全服务提供商进行安全咨询,在保证安全的前提下梳理APP的功能和业务逻辑;在事中,通过对APP进行安全加固保障APP的动态和静态安全,黑客没有机会进行任何破解;事后,爱加密通过24小时钓鱼监测和移动威胁感知平台可以有效的监测到用户的应用是否发生被二次打包、被盗版和被篡改的异常情况,并及时预警安全风险,全方位的保护APP安全、降低风险。”
显然,此次共享单车被破解主要是在安全风险发生的事前环节的忽略。对于共享单车的安全性问题,市场上质疑的声音不绝于耳。但是在此次“GeekPwn”极客大赛年中赛之前,共享单车信息安全的问题并没有引起大众广泛的关注。这是由于一直以来,国内大量的APP使用者对于移动安全、信息安全的意识比较薄弱,对企业的信任度非常强。因此,构建健康的网络环境一方面需要企业要加强产品的规范意识,另一方面,也需要大众对信息安全知识有更加深入的了解。