在前不久的“GeekPwn”極客大賽年中賽上,小鳴單車、永安行、享騎和百拜四款共享單車APP的漏洞被網名為“tyy”的女程序員不到一分鐘輕鬆破解。利用應用程序的漏洞,tyy直接獲取了用戶的個人資料,並現場遠程連線,演示利用他人賬戶,實現開鎖、騎行的過程。
在比賽後的採訪上,tty也對於此次攻擊的難度與過程進行了說明:“對網絡傳輸這方面比較瞭解的人,如果拿到一些信息,並不好確定是否會完成後續的掃碼、騎車這類操作,而且這四款APP攻擊漏洞難度並不一樣。個人在使用APP的過程中,我利用程序漏洞,抓取到需要的內容,可以很快獲取個人信息,而且有幾款APP即便退出登錄、改密碼也是沒有用的。當時比賽是限時30分鐘,我演示四個APP,沒有詳細算時間,我從拿到原始信息開始,並且逐個APP展示,中間也有一些重連服務器的耗時情況,比賽完成後,我並沒有超時。”
從tty的描述中不難看出,這是一次可以利用APP自身存在的漏洞就進行快速攻擊從而實現信息竊取甚至盜刷的過程。如此容易被攻破的共享單車APP,是“敵人”太狡猾還是“我方”太輕敵?
後續持續曝光的幾款單車對於漏洞修復的速度來看,“敵人”真的沒有那麼狡猾。那麼,如此被輕易攻破的原因究竟是什麼呢:
第一,在於程序編碼的問題,這一點,tty也有說明:“一些程序員可能不會想到這些問題,但如果有一些反向思維,有保護用戶個人信息的意識,對信息安全有了解,可能這四款APP就避免了類似的漏洞”;
第二,在於功能與業務邏輯上的問題,Android 與IOS的相對開放、用戶權限的設置等都會存在隱患;
第三,在於這些APP都沒有選擇專業的第三方加固平臺對APP進行全方位的加固。如果選擇專業的加固平臺,那麼在加固之前安全服務商就會對該APP的安全問題進行評估與反饋。除了針對這次被披露的漏洞攻擊,黑客還會在用戶使用的過程中進行多種形式的攻擊。比如,過去我們經常聽到的“薅羊毛”也會頻發在共享單車這類軟件上,當黑客採用模擬器去模擬用戶大量刷約車紅包,也會給企業造成一定的損失。
針對於以上三點,全球專業的移動信息安全服務提供商愛加密CEO郭訓平表示:“APP從開發到上線的任何一個環節都會有安全風險,每個環節都不能忽視。所以APP安全應該覆蓋整個移動APP生命週期,安全服務商要為被保護的企業提供一個安全閉環。在APP上線之前可以通過檢測平臺檢測APP本身存在的漏洞,同時通過向專業的安全服務提供商進行安全諮詢,在保證安全的前提下梳理APP的功能和業務邏輯;在事中,通過對APP進行安全加固保障APP的動態和靜態安全,黑客沒有機會進行任何破解;事後,愛加密通過24小時釣魚監測和移動威脅感知平臺可以有效的監測到用戶的應用是否發生被二次打包、被盜版和被篡改的異常情況,並及時預警安全風險,全方位的保護APP安全、降低風險。”
顯然,此次共享單車被破解主要是在安全風險發生的事前環節的忽略。對於共享單車的安全性問題,市場上質疑的聲音不絕於耳。但是在此次“GeekPwn”極客大賽年中賽之前,共享單車信息安全的問題並沒有引起大眾廣泛的關注。這是由於一直以來,國內大量的APP使用者對於移動安全、信息安全的意識比較薄弱,對企業的信任度非常強。因此,構建健康的網絡環境一方面需要企業要加強產品的規範意識,另一方面,也需要大眾對信息安全知識有更加深入的瞭解。