快的滴滴等多款打车软件存信息泄露风险

“一般而言很多人的账号跟密码用的都是同一个。如果我有了一个人打车软件的账号密码,可以用它尝试登陆这个人的支付宝、微信等等,一旦成功,我就可以把账号里的钱拿来转账和消费。”

China Consumer Report - - 汽车 电子 - |本刊实习记者/刘家路

时下,打车软件因其快捷、便利而大受欢迎,但“火爆”背后存在的安全问题也逐渐暴露出来,用户的信息安全更是备受关注。

互联网漏洞曝光平台——乌云网2015 年5月向《消费者报道》提供的数据显示,自2014 年1月份到 2015 年5月上旬,共发布59个关于打车软件的安全漏洞,涉及厂商多达9家,其中快的、滴滴、Uber等行业领先企业赫然在列。

高危漏洞频遭忽略

在上述漏洞中,危害等级为“高”的漏洞达33个,占比55.9%;中危漏洞14个,占23.7%;低危漏洞12个,占20.3%。其中,快的打车被发布的安全漏洞数最多,达 19个(包括一号专车漏洞),一嗨租车和神州租车分别以12 和 10个的漏洞数紧随其后,而滴滴打车漏洞数则为7个(如图2)。

在漏洞类型方面,被直接标记为“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9个,可能会造成软件用户信息泄露的漏洞至少达25个。

360手机安全专家万仁国告诉本刊记者,“打车软件本身是一个应用,会有一些数据,这些数据都是在服务器上会存在的。如果这个应用不够健全,存在的漏洞被人利用,导致拖库,可以拿到所有的数据。”

所谓“拖库”是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。乌云网核心白帽子“猪猪侠”认为,“软件用户信息泄露的根本原因是开发人员的安全意识不足。”他表示,大多数的漏洞在软件系统设计之初就可以避免,但由于部分开发人员不够重视,造成软件存在了漏洞,继而导致用户信息存在了被黑客拖库的可能性。

令人更加不安的是,在被告知软件存在安全漏洞之后,依然有11个漏洞被相应厂商选择忽略。其中,嘀嗒拼车的5个安全漏洞全部被忽略,包括了在 2015 年3月份有白帽子发布的“嘀嗒拼车SQL 注入泄露用户敏感信息(包括车主证件,银行卡号等)”漏洞。

SQL注入可以通过在Web表单中输入(恶意) SQL语句,得到一个存在安全漏洞的网站上的数据库。这一高危漏洞被发布者指出可能导致嘀嗒拼车用户

Newspapers in Chinese (Simplified)

Newspapers from China

© PressReader. All rights reserved.