共享單車平臺安全漏洞浮現(xiàn) 黑客一分鐘攻破

（原標題：共享單車平臺安全漏洞浮現(xiàn)，黑客一分鐘攻破）

共享單車的安全漏洞浮出水面。在昨日舉行的2017國際安全極客大賽GeekPwn年中賽上，女程序員演示了不到一分鐘攻破共享單車的高危漏洞，直接獲取用戶的個人資料、免費騎車的過程。

共享單車成“共享隱私”

畢業(yè)于浙大計算機專業(yè)的“tyy”（化名）是此次參賽的唯一女黑客。只見她打開電腦，不到一分鐘便可以查看到評委萬濤手機上小鳴單車、永安行、享騎和百拜四款共享單車的賬戶信息，包括騎行記錄、行駛路徑、賬戶余額等。隨后，她現(xiàn)場連線了遠在上海的朋友，展示了遠程用現(xiàn)場評委的共享單車賬號開鎖、騎行消費。

tyy說，她共發(fā)現(xiàn)了四款共享單車存在云端邏輯漏洞，通過篡改輸入參數(shù)，進而直接訪問、控制他人賬號。獲取用戶的個人賬戶信息后，登錄自己的賬戶掃碼騎車，扣除的卻是別人賬戶的余額。她認為，這些漏洞的危害性不僅在于用戶損失金錢，更重要的是隱私泄露。

極棒黑客大賽創(chuàng)始人王琦認為，這暴露出共享單車云端的漏洞技術含量很低。近年我國“風口”互聯(lián)網行業(yè)發(fā)展速度遠遠大于技術發(fā)展速度，技術發(fā)展速度又遠遠大于安全能力發(fā)展的速度?？赡苡行┬袠I(yè)實踐超過美國十年，但安全能力卻落后十年。

十分鐘解密智能門鎖

值得一提的是，此次被選手攻破的果加智能門鎖是目前中國使用量最大的智能鎖品牌，其在京東自營店公布其用戶數(shù)已超百萬。

來自百度安全實驗室的選手謝海闊、黃正介紹，利用智能鎖網關不嚴謹?shù)哪J設置，任何人只要來到鎖附近，可獲得智能鎖網關設備的序列號，通過逆向分析，破解密碼，向云端服務器發(fā)送偽造的請求，獲得智能門鎖密碼，攻擊者在門外沒有鑰匙、無需物理接觸、拆解門鎖，即可解鎖。評委萬濤表示理論上還可實現(xiàn)十分鐘內獲得此品牌銷往全國的所有智能鎖的密碼，建議用戶設好智能門鎖密碼后，出門前最好關掉網關。

智能手表變竊聽器

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。