“一般而言很多人的账号跟密码用的都是同一个。如果我有了一个人打车软件的账号密码,可以用它尝试登陆这个人的支付宝、微信等等,一旦成功,我就可以把账号里的钱拿来转账和消费。”
本刊实习记者/刘家路
时下,打车软件因其快捷、便利而大受欢迎,但“火爆”背后存在的安全问题也逐渐暴露出来,用户的信息安全更是备受关注。
互联网漏洞曝光平台——乌云网2015年5月向《消费者报道》提供的数据显示,自2014年1月份到2015年5月上旬,共发布59个关于打车软件的安全漏洞,涉及厂商多达9家,其中快的、滴滴、Uber等行业领先企业赫然在列。
高危漏洞频遭忽略
在上述漏洞中,危害等级为“高”的漏洞达33个,占比55.9%;中危漏洞14个,占23.7%;低危漏洞12个,占20.3%。其中,快的打车被发布的安全漏洞数最多,达19个(包括一号专车漏洞),一嗨租车和神州租车分别以12和10个的漏洞数紧随其后,而滴滴打车漏洞数则为7个(如图2)。
在漏洞类型方面,被直接标记为“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9个,可能会造成软件用户信息泄露的漏洞至少达25个。
360手机安全专家万仁国告诉本刊记者,“打车软件本身是一个应用,会有一些数据,这些数据都是在服务器上会存在的。如果这个应用不够健全,存在的漏洞被人利用,导致拖库,可以拿到所有的数据。”
所谓“拖库”是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。乌云网核心白帽子“猪猪侠”认为,“软件用户信息泄露的根本原因是开发人员的安全意识不足。”他表示,大多数的漏洞在软件系统设计之初就可以避免,但由于部分开发人员不够重视,造成软件存在了漏洞,继而导致用户信息存在了被黑客拖库的可能性。