本文目录一览:
女黑客1分钟攻破4款共享单车是怎么回事?
近日,有媒体报道在极客大赛“GeekPwn”年中赛上,小鸣单车、永安行、享骑和百拜四款共享单车APP的漏洞被网名为“tyy”的女程序员轻松破解。利用应用程序的漏洞,tyy直接获取了用户的个人资料,并现场远程连线,演示利用他人账户,实现开锁、骑行的过程。
在视频中,黑客在电脑上操作来攻击APP的漏洞,被攻击的手机后台就会出现在黑客控制的手机上,后台显示了被攻击者的账户余额等信息。随后,黑客通过对漏洞的攻击,用自己的手机扫了单车的二维码进行开锁,此时再查看被攻击者的账户记录,发现被攻击者的账户上多了一条骑行消费记录。
yy回忆当时的比赛现场:“评委老师在现场用自己的手机使用共享单车APP,我在电脑上操作,利用APP的程序漏洞,攻击评委老师的应用后台,我就拿到了他的账户余额、骑行记录。”另外,身在香港参加比赛的tyy还在现场,远程连线在上海的朋友,演示了攻击APP账户后骑行消费的过程。tyy讲述道:“我把自己通过漏洞掌握的信息,同步给上海的朋友,上海的朋友演示扫码骑车,并攻击了评委的APP账户,随后让评委刷新他的骑行记录,就发现他多了一条骑行消费的行程。”
tyy回忆说,她最早看出问题的是摩拜单车,“我是某个周五早上看出来有漏洞,摩拜修复得很快,他们在当天晚上就修复了,我再试验的时候,他们的漏洞已经修好了。”
ofo共享单车有哪些漏洞?
继“红包猎人”后,“足不出户刷ofo红包攻略”的商品在 *** 上出现。用户只需花费上不到10元钱就能买下一段视频,再根据视频内部的教学方式,在家用电脑操作就能刷到小黄车红包,不骑车也能享受到红包车的福利。
*** 出现ofo刷红包教程
近日,记者在 *** 中输入ofo字眼时发现,排在搜索之一位的是“ofo足不出户”字样,点进去后便出现了这样几家店铺:他们以“足不出户刷ofo红包攻略”为吸睛点,出售一段近10元的视频教程,在这段20分钟左右的视频中,出现了一款名为“雷电”的模拟器以及电脑版的ofo。
根据视频内部的操作提示,用户需要先在自己的电脑上下载一款名为“雷电”的模拟器以及电脑版的ofo,再把鼠标移动到偏向红包车较多的区域进行定位。待定位完成后,在选择“手动输入车牌号”,等车子解锁成功之后便会自动开始计时,根据卖家透露,为了防止账号被封,用户需要每次都尽量让时间超出10分钟,“不然就不像真的在骑车。很容易被后台怀疑。”等到骑行结束,红包就会自动出现在电脑界面上。
卖家表示,购买视频的用户必须拥有ofo的账户并且已经完成押金的交纳,“一个账户可以刷5次红包,但是如果你账户越多,刷红包的次数也就越多。”
红包车“盗刷”或涉嫌犯罪
“红包车”的最初目的本是以激励的形式,让用户能够使用长期闲置、违停放的单车,促进流通使用。
摩拜最初推出“红包车”的做法也确实得到了行业人士的认可,并将其视为市场上一只“资本之手”,可以帮助线下车辆有效运作。
但由于共享单车系统存在的一些漏洞问题,滋生了一大批职业刷单者,也就是“红包猎人”,有媒体指出,这些“红包猎人”每日刷ofo“红包车”可日入万元,到底有没有这么夸张我们无从可知,但是民间高手无孔不入的“黑客力量”不容小觑。
刷红包的产业可以说是伴随着共享单车的兴起同时出现的,但是目前技术上很难对其进行防御,对很多商家本身来说,只能通过调整策略来进行防范。
摩拜单车二维码破坏人家是怎样做到开锁的
1、膜拜单车的二维码有两处位置,车头管处和车锁处,两处都可以扫码开锁。
2、如果两处二维码都被破坏了,还可以手动输入车身编号,这是印刷在车身挡泥板处的。
3、如果车身编号也被破坏了,那就麻烦点了。可以把车搬到附近没有摩拜单车的地方。然后用摩拜APP的预约功能,预约地图上距离你最近的这辆车,就会出现这辆车的车身编号。这时,有个车铃功能,你让它响一下,就可以确认是否是这辆车了。如果这车不响,那你就在APP上继续找附近的下一辆车预约、响铃来确认车身编号。一天有三次预约,不能说你的运气差,三次都找不到吧。
女黑客1分钟攻破4款共享单车APP是怎么回事?
近日,有媒体报道在极客大赛“GeekPwn”年中赛上,小鸣单车、永安行、享骑和百拜四款共享单车APP的漏洞被网名为“tyy”的女程序员轻松破解。利用应用程序的漏洞,tyy直接获取了用户的个人资料,并现场远程连线,演示利用他人账户,实现开锁、骑行的过程。
针对APP漏洞被破解的情况,小鸣单车方面发表声明称,“小鸣单车注意到了GeekPwn关于共享单车安全漏洞的相关报道,并在之一时间与GeekPwn官方取得了联系,于14日晚间获得了漏洞的相关信息,目前相关漏洞已经紧急修复完毕。感谢GeekPwn和白帽黑客tyy对共享单车系统安全作出的努力。 ”
据悉,2015年毕业于浙江大学计算机专业的tyy如今在上海做程序员,在大概一个月时间里,她尝试攻击了十几款APP,最终她发现其中7款有问题,但因为做了太多测试,除了上述4款APP,其余三款她已经忘记。
tyy回忆,她最早看出问题的是摩拜单车,但摩拜修复得很快,在当天晚上就修复了,她再试验时,摩拜的漏洞已经修好。
闪骑电单车技术合伙人董兆辉告诉澎湃新闻记者,这中间的关键在于被攻击的手机连到了被tyy控制的WiFi上,她可以监控该 *** 上所有的数据流。如果共享单车APP传递的信息没有加密或者加密信息被破解,信息就会暴露。
董兆辉强调,不是跟其他黑客在同一个WiFi就会被监控,必须是这个WiFi已经被黑客黑掉,是可以被监控的。平时正常的比如联通、移动的信号是不会有这样的情况发生的,但是如果周围有假基站的情况下,数据也有可能被监控,但这种可能性很小。“黑客造假基站更多地是想去黑支付宝、微信的信息,共享单车账户毕竟也没几个钱。”
“其实不单是共享单车,所有的APP都有漏洞被破解的风险,主要就是看用户的使用习惯,不知名的WiFi就不要连。”董兆辉说,“很多不专业的APP在设计过程中,对信息安全考虑不周,就有可能没有对信息进行加密,导致用户信息泄露。但比如支付宝因为牵涉到第三方支付,一定程度上跟银行一样,安全性很重要,所有信息都是加密的,信息安全性很高。”
董兆辉表示,为了避免这样的情况,APP在通讯上要做一些加密,太简单的加密也容易被破解,一定是要有一定独到之处的加密,基本上就解决了这个问题。