¿Una hacker irrumpe en una bicicleta compartida con la esperanza de que la gente aumente su conciencia sobre la seguridad de la información?
Según un informe del concurso geek de mitad de año "GeekPwn", las vulnerabilidades de cuatro aplicaciones de bicicletas compartidas fueron fácilmente descifradas por una programadora con el nombre en línea "tyy". Aprovechando las lagunas de la aplicación, tyy obtuvo directamente la información personal del usuario y se conectó de forma remota y demostró el uso de las cuentas de otras personas para realizar el proceso de desbloqueo y conducción.
Se entiende que tyy se graduó en la Universidad de Zhejiang con especialización en informática en 2015 y ahora trabaja como programador en Shanghai. "Cuando estaba estudiando, la escuela no tenía la especialización en seguridad de la información y nunca antes había participado en contenidos relacionados con la seguridad de la información". Con respecto a cómo descubrir las vulnerabilidades de ****share bike, tyy dijo: "****share bike es muy popular ahora. La uso yo mismo y puedo escribir código. Pensé, si creaba esta aplicación, ¿qué tipo de ¿Qué superficie de ataque tendría la aplicación? ¿Cómo la atacaría alguien? Probé casi todas las aplicaciones del mercado".
tyy dijo: "Cuando usas la APLICACIÓN, utilizo las lagunas del programa para capturar el contenido requerido y obtener rápidamente tu información personal. Además, hay varias APLICACIONES que incluso si cierras la sesión o cambias tu contraseña, fue inútil En ese momento, la competencia se limitó a 30 minutos. Demostré 4 aplicaciones sin tiempo de cálculo detallado. Comencé obteniendo la información original y demostré una aplicación. En el medio, hubo algo de tiempo. situaciones de consumo de reconexión al servidor. Al final de la competencia, no se agotó el tiempo "
Con respecto a estas vulnerabilidades, tyy dijo: "Es posible que algunos programadores no piensen en estos problemas, pero si lo hacen. Tienen algo de pensamiento inverso, tienen conciencia de la protección de la información personal del usuario y un sentido de seguridad de la información. Entiendo que estas cuatro aplicaciones pueden haber evitado vulnerabilidades similares. Espero que más personas presten atención a la seguridad de la información".