据《青年报》报道,聚光灯下,孙零(化名)手指在键盘上来回滚动,屏幕上一串串代码飞速略过。一分钟后,四款共享单车APP悉数被破解,用户信息完整出现在了孙零手机中。在日前结束的2017国际安全极客大赛GeekPwn年中赛上,这名25岁的女程序员一鸣惊人,但实际上,她涉足信息安全领域只有半年。“共享经济发展快是好事,但系统优化跟不上就是好心办坏事。”她希望,以此为契机敦促厂商修复漏洞,同时把共享经济背后潜在的信息安全风险展现在大众面前。
“裸骑”女生展示黑入过程不到1分钟
半个多月前,一则“90后女黑客秒破共享单车APP”的消息在网上传开,作为事件的主人公,孙零直言还没适应“女黑客”这一称号,“我充其量就是个信息安全爱好者。”
今年5月13日,孙零随赛事主办方踏上了香港某游轮,作为几十名“白帽黑客”(攻击系统以便进行安全审查的黑客)中唯一的一名女生,她的身影格外显眼。
在比赛现场,孙零介绍小鸣单车、永安行、享骑和百拜四款共享单车都存在平台漏洞。而通过攻击这些漏洞,可以查看到平台上任意用户的账户信息,包括行驶路径、账户余额等。“在评委联网使用手机里四款单车APP时,我已经通过网络传输拿到了我想要的一些未解码的数据,接着再在我的电脑上写个程序,解码编译到我自己的手机里,对方的用户信息就到了我手上,再用这些信息骗过系统登录APP,就可以穿别人的马甲骑车了。”
比赛现场,为了证明攻击成功,孙零还采取现场连线的方式展示了远程用评委的共享单车账号开锁、骑行消费。让人惊讶的是,整个攻击过程用时不到一分钟。
孙零指出,虽然技术层面看也许漏洞并不“高级”,但是造成的后果却很严重。账户里的钱被盗刷还是小事,个人信息泄露后果不堪设想。“一般人骑车是为了通勤,路径主要是家到地铁站或者公司到地铁站,一旦信息外泄,不法分子一定位就知道你家和单位的地址,再通过一些技术手段,你生活的方方面面都有可能暴露。”她戏称,如果漏洞不及时修复,不少用户会面临“在黑客面前裸骑”的窘境。“未知攻焉知防”,这是黑客圈的一句名言。在计算机专业出身的孙零看来,程序员正向写代码与反向挖漏洞之间用到的技术并没有严格的分界线。
虽然比赛当天一举攻破了四款共享单车APP的系统,但孙零接触信息安全领域只有短短半年。孙零坦言,最早关注信息安全领域,只是为了写出更难被攻破的代码。“有时候看到别人写的代码被攻击了,会想想自己会怎么写这个代码。”她说,身为程序员,换位思考是一种职业习惯。
今年4月初,孙零将目光投向了热门产业共享单车。翻看了一些相关报道后,她发现,共享单车业务上的漏洞很多已见诸报端,但技术层面的却鲜有人提及。“没有报道不代表不存在漏洞,也许有人在利用这些漏洞牟利呢?”抱着试一试的心态,她从自己最常用的摩拜单车APP入手研究,很快发现了漏洞,但还没等孙零把结果发给企业,当天摩拜就更新了系统,修复了漏洞。
在一个月的时间里,她先后分析了十多款共享单车软件,发现其中七款存在漏洞。虽然手握多款系统的漏洞,但孙零发现,自己没有有效的途径将漏洞反馈给企业。最终,她选择通过参加比赛由赛事主办方向企业递交漏洞报告。
比赛当天,她演示了攻破4款共享单车APP的过程。事后,她协助赛事主办方拟写了安全问题报告。据主办方介绍,赛事组委会将在两周内将安全问题细节提交给相关厂商。厂商需在接收到安全问题报告后一周内,给予安全问题是否客观存在的官方确认。在特定情况下,组委会将保留对相关安全问题的进一步处理权利,例如选择第三方漏洞报告平台对相关问题进行有限地公示,以敦促相应厂商尽快重视和修复产品安全问题。
“码农”凭兴趣学习或许是最好状态
GeekPwn年中赛中,孙零最终获得一个优胜奖和一个由观众票选的最佳表现奖。对于荣誉,她十分谦虚,“可能大家觉得我是女孩子鼓励一下。”
比赛结束后,从披露室出来的孙零成了媒体追逐的焦点,电话一刻没停过。如今,比赛引起的风波渐渐平息,她又回归了那个沉迷写代码的朴实“码农”。“宅”、“不修边幅”是不少人对女程序员的刻板印象,之前网上流传出一则“女程序员一年不洗澡”的新闻,同为程序员的孙零没少被身边不少朋友以此打趣。“不洗澡是不可能的,不化妆倒是真的。”孙零就职于一家小型互联网公司,每天乘地铁上下班。在她看来,化完妆挤地铁得不偿失,不如“多睡一会儿”。
虽然在打扮方面,孙零显得大大咧咧,但对待工作,她却异常投入。从浙江大学毕业后,这个陕西姑娘只身来到上海。她说,自己很享受上海快节奏的生活方式,“就算你自己慢下来,环境会推着你往前走。”
在一次次“看似不可能”的任务磨砺下,对未知的恐惧感逐渐消散,她说,自己现在变得特别愿意尝试新事物,每天下班后都会钻研自学技术。就连困扰她整整十多年的恐水症,她也在工作一年之后成功克服。
对于未来,孙零表示会继续探索信息安全领域,但并不想给自己压力,“凭着兴趣去学习或许是最好的状态。
|