浙大女“黑客”一分钟黑掉4款共享单车App

　　习惯设置通用账号密码信息泄露风险更大

　　在近日举行的2017国际安全极客大赛GeekPwn年中赛上，浙大计算机系毕业的女“黑客”花了不到一分钟的时间，攻破了评委手机预装的小鸣、永安行、享骑和百拜等4款共享单车的App。这意味着，黑客可以利用共享单车App存在的安全漏洞，用别人的账号远程骑车，用的也是别人的钱。最重要的是，黑客直接获取了用户的账号密码、骑行路线、GPS定位、账号余额等个人信息，这些个人信息的泄露可能导致用户经常接到推销电话、垃圾短信，严重的还有诈骗和其他App账户被盗的可能。

　　不仅可以刷别人的钱骑车用户的个人信息也暴露了

　　在国际安全极客大赛上，女“黑客”tyy(化名)利用共享单车App的漏洞，顺利“黑”入了评委手机上的4款共享单车App，提取了对方包括历史骑行路径、骑行时间、GPS定位、账户余额和注册账户信息等在内的个人信息。

　　同时，她将这些信息同步到了一名同伴的手机上，之后这名位于上海的同伴就拿着同款App，用着评委被黑的账号，顺利骑上了共享单车，而评委这边则没有任何提示。

　　tyy称，App可以这样一直消费下去，且被入侵的用户不会有任何察觉。她表示，她用了一个月的时间看了十几款共享单车，这种情况在共享单车App上非常普遍，目前演示了4款，推测另外几款也有类似的问题。

　　4月初，她首先发现摩拜单车存在安全漏洞，但不久后摩拜将漏洞修复，她又随机测试了众多品牌单车，发现小鸣单车、永安行、享骑和百拜单车也存在该问题，这四款单车的漏洞不同，但结果相同。

　　为什么这么多共享单车的App都有安全问题？tyy表示，可能是创业者们都太着急了，并没有周全细致地开发App，只是想着将产品快速投入市场。

　　目前，tyy已经将发现的漏洞都提交给了相应的共享单车团队，希望他们能即时修复漏洞。

　　习惯设置通用账号密码

　　信息泄露风险更大

　　2015年的3·15晚会上，Wi-Fi的网络安全问题被推到了风口浪尖。晚会现场的观众利用手机连接现场的伪装Wi-Fi，安全工程师模仿黑客通过Wi-Fi抓取了现场观众手机上的照片、邮箱地址甚至密码等信息。

　　tyy攻破共享单车App，也是通过同一Wi-Fi下，与陌生用户手机相连，仅仅用了几秒钟，该用户此前的骑行记录便显示在她的电脑上。tyy还表示，小鸣和百拜单车即使不在同一Wi-Fi下也能完成这些操作。

　　去年开始，杭州街头小巷多了各种颜色的共享单车，它们随处可借又是无桩停车，便捷并且租金低，圈了不少粉。虽然共享单车的花费不高，但涉及个人隐私泄露，还是让共享单车的用户捏把汗。记者 王潇潇