一、小白劇場

小白:東哥,今天不用加班吧,我一會下班要趕緊出去開一個共享單車,要不晚一會就沒有車了。

大東:小白,不如來加一會班?

小白:東哥,不要嚇我呀。你不知道共享單車可是非常搶手的,路程近的話走路太累,打車有點破費,坐公交呢走路距離和公交又差不多,所以自行車是相較之下最好的選擇了。

共享單車(圖片來自網絡)

大東:哈哈哈,那你今天的工作處理完了就快點回家吧,對了,你一般都選擇什么共享單車呢?

小白:這個嘛,隨緣,摩*、*桔、哈*都是可以的,我更喜歡不需要交押金的,通過手機APP掃碼就可以騎行的車子。

大東:那小白,你有沒有聽說過這樣一個軟件,叫做“全能車”。這個APP號稱只要繳納299元的押金就能掃碼使用市面上絕大部分的共享單車,摩*、*桔、哈*、*藍、o*o、優(yōu)*、*唄、永*行、*鳴等單車都被囊括其中。

小白:真的嗎?那我要趕快下載一個,東哥,你應該早一點告訴我呀。

大東:別別別,這個軟件呀,它已經出事了。另外,小白,要警惕便宜的陷阱呀。Wifi萬能鑰匙的事情你還有印象嗎?

小白:嗯,可能因為手機的吸引力太大,再加之很多應用需要連網使用,WiFi萬能鑰匙的知名度可比全能車大多了。不過,WiFi萬能鑰匙存在著很嚴重的問題,曾經有人做過實驗,手機在使用WiFi萬能鑰匙連上別處的無線WiFi后,他的網銀賬號密碼等隱私信息就被提取了。即使沒人針對性地盜取密碼,也會有別的信息悄悄泄漏。

大東:是,盡管全能車暫未發(fā)現隱私數據泄露的問題,但它卻存在其他的安全隱患,我們一起來看看吧。

小白:好呀好呀。

二、話說事件

大東:全能車是一款涵蓋網約車、共享單車、電單車等多項出行服務在內的一站式出行APP。通過全能車APP,用戶可免押金、免車費騎行市面主流品牌共享單車,可在全國城市一鍵呼叫市面主流品牌網約車服務。

全能車logo(圖片來自網絡)

小白:是不是這里的免費存在問題,天下一定沒有免費的午餐!

大東:沒錯,2019年八月份警方接到報警稱,全能車APP影響了很多共享單車企業(yè)的正常服務,造成共享單車公司人民幣損失約3億元。

小白:3億元,驚呆。

大東:8月28日,專案組趕赴廣東省深圳市,抓獲犯罪嫌疑人李某、張某、胡某等14名犯罪嫌疑人員,現場查獲68臺服務器。

警方抓捕犯罪嫌疑人(圖片來自網絡)

小白:看起來是個大案子,那這個事件應該算是告一段落了吧。

大東:沒錯,全能車已經在各大應用市場及第三方應用商店下架。但是作為網絡安全人員,我們還可以關注其細節(jié)。

三、大話始末

小白:對,我還不知道開發(fā)全能車的人為什么被抓呢?

大東:全能車是2017年某科技公司實際控制人李某起意創(chuàng)設的,他看到了共享單車的商機,動起了歪腦筋。

小白:難道這個人的想法不是自己創(chuàng)始一個共享單車平臺或者是做一個共享單車聯合平臺嗎?

大東:當然不是,這款軟件其實是一款外掛軟件,它主要通過修改計算機信息系統(tǒng)中處理、傳輸的數據,在未經營任何共享單車實體業(yè)務的情況下,能打開市場上所有品牌共享單車。

小白:這這這,怎么做到的呀?我只是想知道技術細節(jié),不是想犯罪哈。

大東:首先呢該公司研發(fā)部總監(jiān)張某詳細做了共享單車的市場調研及數據開發(fā),采用反編譯、抓包、破解等方式,突破計算機安全保護措施,針對共享單車App進行數據包破解,研究是否可以利用技術手段開鎖。

小白:抓包、逆向破解...這些都是犯法的,看來他們一開始就在“冒險”呀。

大東:沒錯,在犯法的這條路上,他們可以說是越走越遠,項目的前端App、服務器、各項接口的后端以及后臺維護均有人專門負責,分工十分明確。

小白:天吶,可怕,那他們是怎么吸引用戶的呢?

大東:第一個就是用金錢優(yōu)勢來吸引用戶,“全能車”App以低于品牌共享單車包月服務費的方法吸引用戶入駐。

小白:在一開始用戶不了解的情況下確實會吸引部分用戶入駐該平臺。

大東:接下來,吸引到用戶入駐之后,他們就開始鼓勵用戶共享自己的信息。

小白:啊哈?共享信息?

大東:沒錯,他們鼓勵用戶提供自己的摩*、哈*等共享單車的賬號,加入他們的手機信息池。

小白:那用戶可能會不答應吧,但是很多App條款用戶沒有耐心認真看,直接就點同意接受,然后就上了商家的賊船。

大東:同樣的,“全能車”使出了金錢誘惑,他們對加入信息池的用戶每天給予幾毛到幾元不等的返利,這樣就會有用戶加入共享池了。

小白:看來我以后一定要警惕這種返利陷阱呀。

大東:這個公司還使用虛擬卡、實體卡等方式注冊了品牌共享單車的月卡、季卡等,設立賬號卡池。

小白:唉,他們把這些用于犯罪的想法用到其他地方也不錯呀,非要去犯罪。那這個公司怎么做到讓使用全能車的用戶掃碼開車呢?

大東:李某等人將“全能車”App用戶掃碼獲得的車輛二維碼與其卡池的賬號信息,按照前期破解被害單位的數據編寫規(guī)則重新編成一個數據包,使用虛擬服務器發(fā)送至被害單位后臺服務器,讓服務器誤以為是正常用戶通過正常App發(fā)送的數據,從而向單車發(fā)出開鎖指令。

小白:小白我要再次感嘆,有這個技術干什么不好呢!

大東:是呀,為了在此牟利,他們確實費了不少心思。同一賬戶頻繁開鎖關鎖,甚至同時存在于不同地理位置開鎖關鎖,一旦被品牌共享單車公司發(fā)現,就會被封號。為了避免封號的風險,李某等人還將發(fā)送的數據中的信息進行修改,以破壞品牌共享單車服務器識別用戶的功能。

四、小白內心說

小白:各位技術達人可千萬不要走偏啊。

大東:是的,大東在此提示,非法進行反編譯,對數據進行抓包、破解的行為,涉嫌非法獲取計算機信息系統(tǒng)數據罪。對計算機信息系統(tǒng)中處理、傳輸的數據進行修改,其行為涉嫌破壞計算機信息系統(tǒng)罪。

小白:這些可都是寫在法律文件里的,大家可不要冒險哈,哈哈哈,開個玩笑。

大東:除此之外,在使用網絡的過程中,我們要警惕和辨識那些企圖利用非法網絡信息技術實施的違法犯罪行為。網絡社會不僅是便利生活的好幫手,也是新型網絡信息犯罪的溫床。

小白:不能因為貪圖小利就進入了不法分子設下的陷阱,萬能WiFi鑰匙和全能車都是這些類型的。

大東:是呀,已經被勒令下限的全能車可是沒有給用戶購買保險的,一旦發(fā)生事故,用戶是無法獲得理賠的。因此,小便宜可不好貪圖呀。

小白:嗯嗯嗯!

來源: 中科院之聲