近日有媒体爆出:大量网约车司机安装作弊软件,避开平台规则,随意“抢单”、“拒单”、设置假GPS定位,甚至还能多收取车费,不但给公司造成巨大经济损失,也侵犯乘客利益。
但使用该款作弊软件后,司机行为不受平台控制,违规不会受到处罚,还会获得相应奖励,造成公司经济损失。
据该网约车公司统计,其平台1500万司机中,可能有3万多位司机安装了这款作弊软件,造成公司经济损失高达600余万元。
犯罪成本到底有多低:一个刚毕业大学生即可
据警方介绍,该团伙嫌疑人庞某针对网约车平台漏洞,找到毕业大学生开发该作弊软件售卖牟利。目前,团伙5名成员涉嫌“提供非法控制计算机信息系统程序工具罪”被刑事拘留,初步查明该案涉案金额高达100余万元。相关网约车公司负责人表示,将对使用该作弊软件的司机进行处罚。
此案是针对手机应用app漏洞非法牟利的案件,这种新型犯罪绝不会是首例。
首先我们来看一下目前国内移动应用安全的现状:
根据普华永道的统计数据,早在2014年,中国移动互联网呈现爆发式增长,全年交易额超过20万亿人民币。
移动互联网巨大的机遇和收益也带来了巨大的风险。
在大家都把目光看向高收益的时候,实际上还有另一个问题一直被大家忽视,即移动app的安全性。APP出现的安全漏洞相比WEB平台要高出很多,或许是由以下原因所导致。
1. 开发经验不足
2. 投入的时间和经济成本较低
3. 相关安全人员的缺失
4. 开发者和企业并不重视安全问题
相对于WEB平台来说,APP的安全性还有待提高。WEB的安全研究已经有十多年之久,而APP安全研究是在最近这几年才所普及,所以相对应的安全开发经验不足也是需要弥补的。大部分的厂商只在乎其APP的功能性,忽略了APP的安全性,导致了对其安全投入的资金和时间过低,相对应的也产生了诸多的安全漏洞。
相对于WEB安全,APP的安全研究门槛也要高出很多,除了需要WEB安全测试的基础以外,还需要相关的代码逆向研究,通讯协议研究等。
高门槛的存在导致了相关的安全人员也有所缺失。
目前,国内开始重视相关问题,从7月份开始就各种文件不断,指出“网络安全就是国家安全”的重点方向,并把移动APP的安全作为重中之重。因此,北京鼎源科技有限公司(简称:鼎源科技)整合多年的专利技术积累和研发产品,通过与北理工大学合作的:必安全实验室,打造了一款专业性极强,技术先进的APP在线安全平台(www.appbesafe.com),其这个平台需要包含APP漏洞检测,APP风险预警,APP安全检测,APP安全加固等。
必安全实验室的安全团队筛选了前100名互联网公司旗下的100款Android应用,从数据传输安全性、数据存储安全性、敏感数据保护水平、APP代码保护强度、密码算法与协议安全性五个维度进行评估,结果发现几乎所有的手机app都存在安全问题,这些安全问题可能导致用户敏感信息泄露、密码明文传输等隐患。
必安全实验室的安全团队抽取了100个互联网移动应用App进行了深入 测试,发现了十大隐患:
1、通信数据明文发送:客户端APP与服务器端交互的数据通过明文的通信信道传输。
2、通信数据可解密:客户端APP与服务器端交互的数据加密传输,但数据依然可以被解密。
3、敏感数据本地可破解:客户端APP将敏感数据(如登录密码,手势密码等)以明文存储在本地,或加密存储但通过逆向分析程序可以破解该数据。
4、调试信息泄漏:客户端APP将开发时帮助调试的信息打印出来,这些信息通常包含一些敏感的参数,消息的明文等。
5、敏感信息泄漏:客户端APP代码中泄漏敏感数据,如对称加密密钥,非对称加密中的私钥,认证使用的共享密钥,不应被暴露的后台服务器管理地址等等。
6、密码学误用:客户端APP代码中使用了不安全的密码学实现,例如固定硬编码的对称加密,ECB模式的对称加密,CBC模式中IV固定,不安全的公钥进行非对称加密等。
7、功能泄露:客户端APP中高权限的行为和功能(如发送短信,读取联系人等)没有被安全的保护,被其他无授权的应用程序调用或访问。
8、可二次打包:客户端APP可被修改代码后,重新打包发布在市场上供用户下载。
9、可调试:客户端APP能够被调试,动态的提取、修改运行时的程序数据和逻辑。
10、代码可逆向:客户端APP的逻辑能够被轻易获取和逆向,得到代码和程序中的敏感数据。
必安全实验室的安全专家称,这次的评估是通过所测试的这100个app推测整个移动互联网行业app的安全水平,然而一些规模较小的公司基本没有能力对app的安全性进行保护。实际上从悲观的角度看,行业的整体水平几乎等于“零”。
在这种几乎毫无防范的网络环境下,移动互联网产生的巨量利润,必然会被盯上。
因此,移动APP行业应该有严格的安全防护,必安全实验室的安全专家们希望企业和开发人员们能够转变观念,培养安全意识,在发布app之前通过必安全实验室的APP在线安全平台做相关的安全检测或安全审计。
