世界各地近年出現共享單車熱潮,使用者只要按自己所需要就可以自行租借單車代步。此服務在台灣及中國大陸都獲得不錯的成績令到香港都開始有初創公司跟上推出相關服務。香港近日「Gobee.Bike」的推出就成功引來傳媒多番報導,令到此服務成為城中焦點。只不過,光環背後似乎問題多多,不但被投訴扣錢後不能用,還被揭手機程式存在著極嚴重保安漏洞。
本地程式開發員啊 Gap 昨日在其個人 Blog 上發表了一篇分析報告,揭示出 Gobee.Bike 的手機程式原來存在了極嚴重保安漏洞,令到用戶的信用卡資料可以隨時被洩漏。
引述啊 Gap 透過分析 Gobee.Bike 的 Android 程式後發現問題如下:
- 信用卡資料(包括信用卡號碼、CVV、到期日)以沒有加密的方式(http)被傳送到 Gobee.Bike 伺服器 (V0.1.0 版本已移除)
- 信用卡資料(包括信用卡號碼、CVV、到期日)以可解密或未加密方式儲存於 Gobee.Bike 伺服器
- 所有資料(例如信用卡資料、用戶密碼等等…)均使用沒有加密的方式(http) 傳送
沒有加密的資料傳送,令到用戶每一次開啟 Gobee.Bike 程式,就會增加信用卡資料落入黑客手上的機會。
如果你近日有使用此程式的話,建議大家前往 啊 Gap 的個人 Blog 上,按步驟查看一下是否已「中伏」,然後按建議作出相應的預防措施。