共享单车“围剿”全能车?战争背后是谁的信息在“裸奔”
共享单车“围剿”全能车?战争背后是谁的信息在“裸奔”
2017-07-11 13:56:51 来源:互联网
抢沙发
2017-07-11 13:56:51 来源:互联网
摘要:谈及到共享单车开发者如何考量APP安全问题,程智力认为可以从以下三点考量:“第一,源码安全问题,源码是APP最核心的一部分,如果没能被保护好相当于暴露了整个业务数据和用户数据。
关键词:
共享单车
近日,多家媒体曝光出“全能车”正在遭遇多家共享单车联合“围剿”。
根据央广网北京7月7日消息,近日,有网友发现,共享单车市场上出现了一款名为“全能车”的软件。在其官网上,“全能车”自称“只需支付一份押金,共享单车品牌都可使用”,还可以“正常享受对应单车品牌运营活动”等。一时间,“全能车”因其“全能”的特性引发社会关注。
据了解,此款没有实车供应的软件,打破了此前共享单车品牌一对一的解锁模式,而随着“全能车软件”下载使用量的持续攀升,也引发多方质疑。中国之声记者就此事联系摩拜、ofo等品牌客服,对方均表示并没有向“全能车”进行任何授权。不仅如此,多个共享单车平台表示,目前正通过技术手段对其进行封禁。(来自:央广网)
对于“全能车”在未经授权的情况下能够解锁各品牌共享单车的原理,小黄车相关负责人曾对相关媒体表示:“‘全能车’实现只交一份押金而使用多个品牌的原理是这样的:全能车大量购买个人的身份证信息,再去用这些信息实名认证注册ofo、摩拜、小蓝等共享单车。也就是说,当有人通过‘全能车’App用车时,其实是盗用了别人的身份信息。”
如果全能车的运营原理真如小黄车相关负责人表示的那样,带有明显黑色产业介入的痕迹,那么除了个人信息的购买之外,开放新的端口与各个平台对接这一行为也属违法行为。此前,南都调查曾针对共享单车漏洞背后的产业链发布了一篇调查性文章,揭露了数据泄露背后给用户和企业造成的巨大损失;在前不久的“GeekPwn”极客大赛年中赛上,四款共享单车APP的漏洞被网名为“tyy”的女程序员在不到一分钟的时间内轻松破解。利用应用程序的漏洞,tyy直接获取了用户的个人资料,并现场远程连线,演示利用他人账户,实现开锁、骑行的过程。
爱加密技术总监程智力表示:“目前,还没有明确的结论显示数据是从哪方面泄露的,数据的使用环节、数据的交换环节、数据的存储、数据的传输等过程中都会导致数据的泄露。企业安全治理还是应该从‘端、管、云’的角度出发,进行全方位的安全防护。因为终端的更新速度与第三方合作的开启与关闭十分频繁,使得终端在整个架构中成为了最薄弱的环节。”
谈及到共享单车开发者如何考量APP安全问题,程智力认为可以从以下三点考量:“第一,源码安全问题,源码是APP最核心的一部分,如果没能被保护好相当于暴露了整个业务数据和用户数据;第二,功能与业务逻辑上的问题,Android 与IOS的相对开放、用户权限的不安全设置等都会存在隐患;第三,进行专业的安全防护,选择专业的加固平台,那么在加固之前安全服务商就会对该APP的安全问题进行评估与反馈。除了针对这次被披露的漏洞进行攻击,黑客还会在用户使用的过程中进行多种形式的攻击。比如,过去我们经常听到的“薅羊毛”也会频发在共享单车这类软件上,当黑客采用模拟器去模拟用户操作,大量刷约车红包,也会给企业造成一定的损失。”
今年6月1日起正式施行的《网络安全法》中第四十四条提到:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”因此,如果“全能车”涉及到隐私购买的情况,将会承担相应的法律责任。
同时,在第二十二条中也明确了网络产品如果发现漏洞也应该及时修补:“ 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当及时告知用户并采取补救措施,并按照规定及时告知用户并向有关主管部门报告。”守护网络安全不仅是打击黑产,还需要企业提高安全意识、建立完善的网络安全防护体系。
第三十六届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
