一、小白剧场

小白:东哥,今天不用加班吧,我一会下班要赶紧出去开一个共享单车,要不晚一会就没有车了。

大东:小白,不如来加一会班?

小白:东哥,不要吓我呀。你不知道共享单车可是非常抢手的,路程近的话走路太累,打车有点破费,坐公交呢走路距离和公交又差不多,所以自行车是相较之下最好的选择了。

共享单车(图片来自网络)

大东:哈哈哈,那你今天的工作处理完了就快点回家吧,对了,你一般都选择什么共享单车呢?

小白:这个嘛,随缘,摩*、*桔、哈*都是可以的,我更喜欢不需要交押金的,通过手机APP扫码就可以骑行的车子。

大东:那小白,你有没有听说过这样一个软件,叫做“全能车”。这个APP号称只要缴纳299元的押金就能扫码使用市面上绝大部分的共享单车,摩*、*桔、哈*、*蓝、o*o、优*、*呗、永*行、*鸣等单车都被囊括其中。

小白:真的吗?那我要赶快下载一个,东哥,你应该早一点告诉我呀。

大东:别别别,这个软件呀,它已经出事了。另外,小白,要警惕便宜的陷阱呀。Wifi万能钥匙的事情你还有印象吗?

小白:嗯,可能因为手机的吸引力太大,再加之很多应用需要连网使用,WiFi万能钥匙的知名度可比全能车大多了。不过,WiFi万能钥匙存在着很严重的问题,曾经有人做过实验,手机在使用WiFi万能钥匙连上别处的无线WiFi后,他的网银账号密码等隐私信息就被提取了。即使没人针对性地盗取密码,也会有别的信息悄悄泄漏。

大东:是,尽管全能车暂未发现隐私数据泄露的问题,但它却存在其他的安全隐患,我们一起来看看吧。

小白:好呀好呀。

二、话说事件

大东:全能车是一款涵盖网约车、共享单车、电单车等多项出行服务在内的一站式出行APP。通过全能车APP,用户可免押金、免车费骑行市面主流品牌共享单车,可在全国城市一键呼叫市面主流品牌网约车服务。

全能车logo(图片来自网络)

小白:是不是这里的免费存在问题,天下一定没有免费的午餐!

大东:没错,2019年八月份警方接到报警称,全能车APP影响了很多共享单车企业的正常服务,造成共享单车公司人民币损失约3亿元。

小白:3亿元,惊呆。

大东:8月28日,专案组赶赴广东省深圳市,抓获犯罪嫌疑人李某、张某、胡某等14名犯罪嫌疑人员,现场查获68台服务器。

警方抓捕犯罪嫌疑人(图片来自网络)

小白:看起来是个大案子,那这个事件应该算是告一段落了吧。

大东:没错,全能车已经在各大应用市场及第三方应用商店下架。但是作为网络安全人员,我们还可以关注其细节。

三、大话始末

小白:对,我还不知道开发全能车的人为什么被抓呢?

大东:全能车是2017年某科技公司实际控制人李某起意创设的,他看到了共享单车的商机,动起了歪脑筋。

小白:难道这个人的想法不是自己创始一个共享单车平台或者是做一个共享单车联合平台吗?

大东:当然不是,这款软件其实是一款外挂软件,它主要通过修改计算机信息系统中处理、传输的数据,在未经营任何共享单车实体业务的情况下,能打开市场上所有品牌共享单车。

小白:这这这,怎么做到的呀?我只是想知道技术细节,不是想犯罪哈。

大东:首先呢该公司研发部总监张某详细做了共享单车的市场调研及数据开发,采用反编译、抓包、破解等方式,突破计算机安全保护措施,针对共享单车App进行数据包破解,研究是否可以利用技术手段开锁。

小白:抓包、逆向破解...这些都是犯法的,看来他们一开始就在“冒险”呀。

大东:没错,在犯法的这条路上,他们可以说是越走越远,项目的前端App、服务器、各项接口的后端以及后台维护均有人专门负责,分工十分明确。

小白:天呐,可怕,那他们是怎么吸引用户的呢?

大东:第一个就是用金钱优势来吸引用户,“全能车”App以低于品牌共享单车包月服务费的方法吸引用户入驻。

小白:在一开始用户不了解的情况下确实会吸引部分用户入驻该平台。

大东:接下来,吸引到用户入驻之后,他们就开始鼓励用户共享自己的信息。

小白:啊哈?共享信息?

大东:没错,他们鼓励用户提供自己的摩*、哈*等共享单车的账号,加入他们的手机信息池。

小白:那用户可能会不答应吧,但是很多App条款用户没有耐心认真看,直接就点同意接受,然后就上了商家的贼船。

大东:同样的,“全能车”使出了金钱诱惑,他们对加入信息池的用户每天给予几毛到几元不等的返利,这样就会有用户加入共享池了。

小白:看来我以后一定要警惕这种返利陷阱呀。

大东:这个公司还使用虚拟卡、实体卡等方式注册了品牌共享单车的月卡、季卡等,设立账号卡池。

小白:唉,他们把这些用于犯罪的想法用到其他地方也不错呀,非要去犯罪。那这个公司怎么做到让使用全能车的用户扫码开车呢?

大东:李某等人将“全能车”App用户扫码获得的车辆二维码与其卡池的账号信息,按照前期破解被害单位的数据编写规则重新编成一个数据包,使用虚拟服务器发送至被害单位后台服务器,让服务器误以为是正常用户通过正常App发送的数据,从而向单车发出开锁指令。

小白:小白我要再次感叹,有这个技术干什么不好呢!

大东:是呀,为了在此牟利,他们确实费了不少心思。同一账户频繁开锁关锁,甚至同时存在于不同地理位置开锁关锁,一旦被品牌共享单车公司发现,就会被封号。为了避免封号的风险,李某等人还将发送的数据中的信息进行修改,以破坏品牌共享单车服务器识别用户的功能。

四、小白内心说

小白:各位技术达人可千万不要走偏啊。

大东:是的,大东在此提示,非法进行反编译,对数据进行抓包、破解的行为,涉嫌非法获取计算机信息系统数据罪。对计算机信息系统中处理、传输的数据进行修改,其行为涉嫌破坏计算机信息系统罪。

小白:这些可都是写在法律文件里的,大家可不要冒险哈,哈哈哈,开个玩笑。

大东:除此之外,在使用网络的过程中,我们要警惕和辨识那些企图利用非法网络信息技术实施的违法犯罪行为。网络社会不仅是便利生活的好帮手,也是新型网络信息犯罪的温床。

小白:不能因为贪图小利就进入了不法分子设下的陷阱,万能WiFi钥匙和全能车都是这些类型的。

大东:是呀,已经被勒令下限的全能车可是没有给用户购买保险的,一旦发生事故,用户是无法获得理赔的。因此,小便宜可不好贪图呀。

小白:嗯嗯嗯!

来源: 中科院之声