90后女黑客秒破共享单车
风口行业跑得快,安全也要跟得上
自己骑共享单车但是刷的是别人的钱,一秒得到整个小区的智能门锁密码,让平衡车实现“无人驾驶”狂奔不止,“手机僵尸”隔空窃密……5月13日,在全球首艘安全极客邮轮上,来自世界各地的天才少年极客们,上演了一出真人版的“黑客帝国”。时下最热的人工智能和共享单车,也成为了黑客们集中挑战的领域。黑客们想提醒火爆的创业项目,快速奔跑的同时,安全这件事情也要跟得上才行。
不少共享单车都有漏洞
“您在上周骑行3次,账户余额还有3元。”使用电脑在同一Wi-Fi环境下与陌生用户手机相连,几秒钟后,别人的骑行记录便可尽收眼底,用户姓名、余额及密码也一览无遗。在日前召开的国际安全极客大赛极棒年中赛的活动现场,25岁的女程序Tyy一秒攻破时下最火爆的共享单车。
Tyy是一名程序员,也是共享单车的用户。今年4月,她首先发现摩拜单车存在安全漏洞,但不久后摩拜将漏洞修复。她又随机测试了众多品牌单车,发现小鸣单车、永安行、享骑和百拜单车都存在不同的漏洞。如果借助漏洞,不仅能获悉别人的隐私,还能用别人的账户扫码骑行。
虽然共享单车的花费不高,但涉及个人隐私泄露,包括实名认证、GPS定位和押金充值信息等,若被不法分子获知,有可能形成新的诈骗模式。“共享单车企业都在向前跑,但有的漏洞是很低级的。”Tyy表示。
智能门锁被“一网打尽”
凭借智能防盗报警、远程开门、动态密码等新功能,不少人把普通的机械锁换成了智能锁。在比赛现场,来自百度安全实验室的谢海阔、黄正利用门锁通信协议漏洞成功在无需物理接触,无需拆解门锁的情况下远程秒破智能门锁,并获得所有开锁密码。“不管在世界哪个角落,给我一根网线,就可以控制所有连接到云平台的智能设备。”黄正表示。
被攻破的果加智能门锁是中国目前使用量最大的智能锁品牌,被自如、小猪、途家等B端市场的多个公寓品牌所使用,在京东自营店公布其用户数已超过100万。
黄正表示,漏洞就像智能创新技术身上的一根毒刺,只要有新技术就必然有新漏洞。
风口行业发展速度和安全能力差了好几代
风口行业在拼杀过程中,出现漏洞是必然现象。但在抢夺市场份额和融资的同时,也不应忽视隐私和系统漏洞。
“现在的风口行业存在一个问题就是,行业发展速度远远大于技术发展速度,技术发展速度又远远大于安全能力发展速度。”极棒创始人兼CEO王琦表示,共享单车和智能门锁项目暴露的漏洞是厂商犯的非常愚蠢的错误,安全能力和行业发展速度差了好几代。