首页 > 互联网 > 乌云:打车软件存高危漏洞,用户信息恐有泄漏风险
2015
06-23

乌云:打车软件存高危漏洞,用户信息恐有泄漏风险


坏消息!当前各类火爆打车软件大部分存在高危漏洞!漏洞数量快的、一嗨、神州等排前三,比较火的国外打车软件uber相对安全点,但也有一个漏洞。

打车软件存高危漏洞

打车软件因其快捷、便利而大受欢迎,成了大众出行的高频选择。而随着打车软件的火爆,背后存在的安全问题也逐渐暴露出来,打车软件几乎成了大批量用户信息的聚集地,用户的信息安全开始备受关注。

根据互联网漏洞曝光平台乌云网提供的数据显示,自2014年1月份到2015年5月上旬,共发布59个关于打车软件的安全漏洞,涉及厂商多达9家,其中快的、滴滴、Uber等行业领先企业赫然在列。

其中,危害等级为“高”的漏洞达33个,占比55.9%;中危漏洞14个,占23.7%;低危漏洞 12个,占20.3%。根据数据显示,快的打车被发布的安全漏洞数最多,达19个,一嗨租车和神州租车分别以12个、10个的漏洞数排名第二,而滴滴打车漏洞数则为7个。

在漏洞类型方面,被直接标记为“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9个,可能会造成软件用户信息泄露的漏洞至少达25个。

360手机安全专家万仁国表示,“打车软件本身是一个应用,会有一些数据,这些数据都是在服务器上会存在的。如果这个应用不够健全,存在的漏洞被人利用,导致拖库,可以拿到所有的数据。”

然而令人更加不安的是,在被告知软件存在安全漏洞之后,依然有11个漏洞被相应厂商选择忽略。其中,嘀嗒拼车的5个安全漏洞全部被忽略,包括了在今年3月份有白帽子发布的“嘀嗒拼车SQL注入泄露用户敏感信息(包括车主证件, 银行卡号等)”的漏洞。

其中有3个安全漏洞被“发现”的易到用车相关负责人对此回应称,“已有专业的安全人员去做一些安全工作,敏感数据的存储都采取加密的方式。针对被发布的三个安全漏洞,易到用车已经在第一时间处理,涉及数据是部分业务的数据”。


发布评论

表情