首页> 安全资讯 > 共享单车“围剿”全能车?战争背后是谁的信息在“裸奔”

共享单车“围剿”全能车?战争背后是谁的信息在“裸奔”

发布时间:2017-07-12

近日,多家媒体曝光出“全能车”正在遭遇多家共享单车联合“围剿”。

根据央广网北京7月7日消息,近日,有网友发现,共享单车市场上出现了一款名为“全能车”的软件。在其官网上,“全能车”自称“只需支付一份押金,共享单车品牌都可使用”,还可以“正常享受对应单车品牌运营活动”等。一时间,“全能车”因其“全能”的特性引发社会关注。

据了解,此款没有实车供应的软件,打破了此前共享单车品牌一对一的解锁模式,而随着“全能车软件”下载使用量的持续攀升,也引发多方质疑。中国之声记者就此事联系摩拜、ofo等品牌客服,对方均表示并没有向“全能车”进行任何授权。不仅如此,多个共享单车平台表示,目前正通过技术手段对其进行封禁。(来自:央广网)

对于“全能车”在未经授权的情况下能够解锁各品牌共享单车的原理,小黄车相关负责人曾对相关媒体表示:“‘全能车’实现只交一份押金而使用多个品牌的原理是这样的:全能车大量购买个人的身份证信息,再去用这些信息实名认证注册ofo、摩拜、小蓝等共享单车。也就是说,当有人通过‘全能车’App用车时,其实是盗用了别人的身份信息。”

如果全能车的运营原理真如小黄车相关负责人表示的那样,带有明显黑色产业介入的痕迹,那么除了个人信息的购买之外,开放新的端口与各个平台对接这一行为也属违法行为。此前,南都调查曾针对共享单车漏洞背后的产业链发布了一篇调查性文章,揭露了数据泄露背后给用户和企业造成的巨大损失;在前不久的“GeekPwn”极客大赛年中赛上,四款共享单车APP的漏洞被网名为“tyy”的女程序员在不到一分钟的时间内轻松破解。利用应用程序的漏洞,tyy直接获取了用户的个人资料,并现场远程连线,演示利用他人账户,实现开锁、骑行的过程。

爱加密技术总监程智力表示:“目前,还没有明确的结论显示数据是从哪方面泄露的,数据的使用环节、数据的交换环节、数据的存储、数据的传输等过程中都会导致数据的泄露。企业安全治理还是应该从‘端、管、云’的角度出发,进行全方位的安全防护。因为终端的更新速度与第三方合作的开启与关闭十分频繁,使得终端在整个架构中成为了最薄弱的环节。”

谈及到共享单车开发者如何考量APP安全问题,程智力认为可以从以下三点考量:“第一,源码安全问题,源码是APP最核心的一部分,如果没能被保护好相当于暴露了整个业务数据和用户数据;第二,功能与业务逻辑上的问题,Android 与IOS的相对开放、用户权限的不安全设置等都会存在隐患;第三,进行专业的安全防护,选择专业的加固平台,那么在加固之前安全服务商就会对该APP的安全问题进行评估与反馈。除了针对这次被披露的漏洞进行攻击,黑客还会在用户使用的过程中进行多种形式的攻击。比如,过去我们经常听到的“薅羊毛”也会频发在共享单车这类软件上,当黑客采用模拟器去模拟用户操作,大量刷约车红包,也会给企业造成一定的损失。”

今年6月1日起正式施行的《网络安全法》中第四十四条提到:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”因此,如果“全能车”涉及到隐私购买的情况,将会承担相应的法律责任。

同时,在第二十二条中也明确了网络产品如果发现漏洞也应该及时修补:“ 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当及时告知用户并采取补救措施,并按照规定及时告知用户并向有关主管部门报告。”守护网络安全不仅是打击黑产,还需要企业提高安全意识、建立完善的网络安全防护体系。

加入收藏