近日，有媒體報(bào)道在極客大賽“GeekPwn”年中賽上，小鳴單車、永安行、享騎和百拜四款共享單車APP的漏洞被網(wǎng)名為“tyy”的女程序員輕松破解。利用應(yīng)用程序的漏洞，tyy直接獲取了用戶的個(gè)人資料，并現(xiàn)場(chǎng)遠(yuǎn)程連線，演示利用他人賬戶，實(shí)現(xiàn)開鎖、騎行的過程。

針對(duì)APP漏洞被破解的情況，小鳴單車方面發(fā)表聲明稱，“小鳴單車注意到了GeekPwn關(guān)于共享單車安全漏洞的相關(guān)報(bào)道，并在第一時(shí)間與GeekPwn官方取得了聯(lián)系，于14日晚間獲得了漏洞的相關(guān)信息，目前相關(guān)漏洞已經(jīng)緊急修復(fù)完畢。感謝GeekPwn和白帽黑客tyy對(duì)共享單車系統(tǒng)安全作出的努力。 ”

“每個(gè)軟件都有漏洞，不可能做那么完美，這也比較正常。”百拜單車CMO張寶俊對(duì)澎湃新聞?dòng)浾弑硎?，“現(xiàn)在問題已經(jīng)全部解決了?！?

享騎電單車方面也表示，“已經(jīng)收到大賽主辦方發(fā)送的關(guān)于程序漏洞的郵件，我們?cè)诩泳o修復(fù)了?！?

tyy還透露，這四款A(yù)PP攻擊漏洞難度并不一樣。

據(jù)悉，2015年畢業(yè)于浙江大學(xué)計(jì)算機(jī)專業(yè)的tyy如今在上海做程序員，在大概一個(gè)月時(shí)間里，她嘗試攻擊了十幾款A(yù)PP，最終她發(fā)現(xiàn)其中7款有問題，但因?yàn)樽隽颂鄿y(cè)試，除了上述4款A(yù)PP，其余三款她已經(jīng)忘記。

tyy回憶，她最早看出問題的是摩拜單車，但摩拜修復(fù)得很快，在當(dāng)天晚上就修復(fù)了，她再試驗(yàn)時(shí)，摩拜的漏洞已經(jīng)修好。

閃騎電單車技術(shù)合伙人董兆輝告訴澎湃新聞?dòng)浾?，這中間的關(guān)鍵在于被攻擊的手機(jī)連到了被tyy控制的WiFi上，她可以監(jiān)控該網(wǎng)絡(luò)上所有的數(shù)據(jù)流。如果共享單車APP傳遞的信息沒有加密或者加密信息被破解，信息就會(huì)暴露。

董兆輝強(qiáng)調(diào)，不是跟其他黑客在同一個(gè)WiFi就會(huì)被監(jiān)控，必須是這個(gè)WiFi已經(jīng)被黑客黑掉，是可以被監(jiān)控的。平時(shí)正常的比如聯(lián)通、移動(dòng)的信號(hào)是不會(huì)有這樣的情況發(fā)生的，但是如果周圍有假基站的情況下，數(shù)據(jù)也有可能被監(jiān)控，但這種可能性很小?！昂诳驮旒倩靖嗟厥窍肴ズ谥Ц秾殹⑽⑿诺男畔?，共享單車賬戶畢竟也沒幾個(gè)錢?！?

董兆輝指出，用戶充到共享單車賬戶內(nèi)的余額及押金，黑客并不能轉(zhuǎn)走，退錢也只能退回原來的銀行卡賬戶。但是黑客可以通過消費(fèi)行為，也就是盜刷別人的賬戶，來花掉別人賬戶里充值的余額，比如利用他人賬戶，實(shí)現(xiàn)開鎖、騎行的過程。

“其實(shí)不單是共享單車，所有的APP都有漏洞被破解的風(fēng)險(xiǎn)，主要就是看用戶的使用習(xí)慣，不知名的WiFi就不要連?！倍纵x說，“很多不專業(yè)的APP在設(shè)計(jì)過程中，對(duì)信息安全考慮不周，就有可能沒有對(duì)信息進(jìn)行加密，導(dǎo)致用戶信息泄露。但比如支付寶因?yàn)闋可娴降谌街Ц叮欢ǔ潭壬细y行一樣，安全性很重要，所有信息都是加密的，信息安全性很高?！?

董兆輝表示，為了避免這樣的情況，APP在通訊上要做一些加密，太簡單的加密也容易被破解，一定是要有一定獨(dú)到之處的加密，基本上就解決了這個(gè)問題。“此外，對(duì)于用戶來說，不明來路的WiFi千萬不要連。”董兆輝說。