小鳴、永安行、享騎和百拜四款共享單車(chē)的app被女程序員“tyy”輕松破解，然后黑客就可以隨意用你的app遠(yuǎn)程騎車(chē)了，反正花的是你的錢(qián)。最重要的是，你實(shí)名認(rèn)證的各種個(gè)人信息也在他們那里開(kāi)始了裸奔。

5月13日，就在“wannacry”敲詐者木馬席卷全球的時(shí)候，2017國(guó)際安全極客大賽GeekPwn年中賽在公海上舉行，來(lái)自多個(gè)國(guó)家的選手——其中中國(guó)選手居多——開(kāi)始“炫技”。

在這場(chǎng)比賽中，tyy是唯一的女選手，她選擇的項(xiàng)目是目前互聯(lián)網(wǎng)創(chuàng)投圈最火熱的共享單車(chē)，因此，她在現(xiàn)場(chǎng)贏得了足夠多的關(guān)注，在最后的大眾投票環(huán)節(jié)，她獲得了最佳表現(xiàn)獎(jiǎng)。

tyy入侵了評(píng)委萬(wàn)濤手機(jī)上預(yù)裝的上述共享單車(chē)app，包括萬(wàn)濤的歷史騎行路徑、騎行時(shí)間、GPS定位、賬戶余額和注冊(cè)賬戶信息等都被她輕松掌握，然后她遠(yuǎn)程連線在上海的同事，把信息同步到同事的手機(jī)上，同事就可以拿著app掃碼開(kāi)鎖，騎著車(chē)去溜達(dá)，而用戶卻毫無(wú)感知。

另外，她還可以讓app一直處于打開(kāi)狀態(tài)幾天甚至十幾天，讓被入侵的app一直持續(xù)消費(fèi)下去，金錢(qián)損失失效，被當(dāng)傻子的感覺(jué)還是挺讓人郁悶的。

據(jù)悉，這些安全漏洞已提交給上述幾款共享單車(chē)團(tuán)隊(duì)。

當(dāng)虎嗅問(wèn)tyy有沒(méi)有研究過(guò)目前共享單車(chē)領(lǐng)域最火的摩拜和ofo的app時(shí)，tyy告訴虎嗅：“其實(shí)我最早發(fā)現(xiàn)的是摩拜，但是我是早上發(fā)現(xiàn)的，然后它晚上就修復(fù)了?！?br/>

這個(gè)漏洞發(fā)生在4月初，當(dāng)時(shí)tyy早上發(fā)現(xiàn)了摩拜app的一個(gè)漏洞，然后中午的時(shí)候她發(fā)現(xiàn)對(duì)方的服務(wù)器開(kāi)始變慢，當(dāng)時(shí)她就預(yù)感到可能摩拜app在更新，結(jié)果晚上果然就修復(fù)了她發(fā)現(xiàn)的漏洞。

tyy談到為何選擇共享單車(chē)作為攻擊目標(biāo)時(shí)說(shuō)：“我自己是個(gè)程序員，我也是一個(gè)共享單車(chē)用戶。我用的時(shí)候就想，如果這是我自己寫(xiě)的應(yīng)用，有哪些可能被攻擊、需要修復(fù)，然后就做了這樣的嘗試。我一個(gè)月的時(shí)間看了十幾款單車(chē)，現(xiàn)在有問(wèn)題的是7款，今天演示了4款，我判斷另外3款也有問(wèn)題，但是沒(méi)有進(jìn)行全部的驗(yàn)證?！?br/>

從去年年中，共享單車(chē)概念突然熱了起來(lái)，一覺(jué)醒來(lái)發(fā)現(xiàn)上海、北京的大街小巷多了許多橙色和黃色單車(chē)，以1元騎車(chē)、0.5元騎車(chē)吸引著消費(fèi)者去嘗試。經(jīng)過(guò)一年的時(shí)間，市面上出現(xiàn)了諸多追隨者和模仿者，有的xx單車(chē)甚至直接模仿了摩拜和ofo單車(chē)的外觀設(shè)計(jì)，換個(gè)顏色和Logo就算開(kāi)張了。

在大量的資本快速涌入到這個(gè)還算稚嫩的行業(yè)后，拔苗助長(zhǎng)了創(chuàng)業(yè)者的熱情和急功近利，可能隨便開(kāi)發(fā)個(gè)app，弄個(gè)幾萬(wàn)輛車(chē)往大街上一放，就共享了，然后就可以找投資人爸爸要錢(qián)了。萬(wàn)濤說(shuō)：“投資人應(yīng)該看看我們的這個(gè)比賽?！?br/>

為何這么多共享單車(chē)app都出現(xiàn)了各種安全漏洞？tyy說(shuō)：“可能他們（創(chuàng)業(yè)者）太著急了吧?！?br/>