临近春节,抢机票、抢火车票、抢租车、抢年货、抢红包……总之,过春节的主题之一就是抢!抢!抢!
年前抢,年后抢,前几天,神州租车发布的《2018春节租车大数据》显示,神州租车2018春节订单中返乡团圆用户占比达67%,三四线城市租车订单同比增长超过50%。另外,二三线城市境外租车订单量也增长逾两倍。
看来,租车真的是越来越流行了,有钱有车回家过年,团团圆圆本来是一件很高兴的事情,过五关斩六将,终于抢到了一个心仪的车型和价格。然而,你的心情就在骗子盯上你的那一刻被摧毁了,你在放假回家的路上,但是骗子可全年无休,而且大家越放假,骗子越忙活。今天,就来聊一聊租车App的那些风险事儿。
1、真真假假傻傻分不清,山寨App助骗子开启饕餮盛宴!
现今骗子玩山寨的本领越来越高强,制作个“李鬼”应用(仿冒软件)极难被识破。骗子会通过盗用官方应用图标、用户应用名甚至应用内容框架等方式,混淆欺骗用户下载安装假App,最终实现非法敛财。
对于用户而言,不小心安装了一款山寨应用,那么跟你说声抱歉,你已经成为了骗子的猎物!
而对于租车企业来说,一款你家的仿冒应用被下载安装可并不仅仅是丢失用户这么简单,骗子会通过这些山寨App一步步剥夺租车企业的信誉度、核心数据资料甚至是金融资产!
2、扣、扣、扣……用户钱包持续被掏空
租过车的朋友都知道还车以外的时间如果你还在用车是要额外收费滴,这很正常。但是如果租车企业App的安全保护没有做到位,那么用户很有可能要被一大堆莫名其妙的“花费”给逼疯:
咦~~~好奇怪,才多开了这么点儿里程,咋被扣了如此多的钱?
咦~~~好奇怪,车都还了,咋又被扣了一笔租车费~还是豪车玛莎拉蒂!找厂商算账去!
……啊~~~要疯啦,电子钱包都被“扣”空啦!
~~~最最崩溃的还有银行卡也被盗刷!!
然后,问题来了,用户多支付的钱去哪了呢?虽然租车企业会很冤枉的说“这笔钱真没进到我的账户里”,可官司还是吃定了……
3、租车App蜗牛速度打开,租车企业业务被添“堵”
在商业间谍网络化的今天,租车企业App里的一些潜藏缺陷、安全漏洞都可能被恶意攻击者利用,各类招数齐发,严重扰乱租车企业业务的正常运行,例如用户很难打开租车App进行租车交易,或者用户刚刚支付的租车费用莫名消失迟迟得不到确认回复。租车企业的后台业务服务器甚至会被恶意攻击而彻底挂掉,眼睁睁错失春节如此大好商机时期。
4、租车之后发现找你“贷款”、“买保险”、“买房子”的人多了,烦不胜烦
开开心心过完年回来之后,发现找你“贷款”的人多了,给你推销保险、房子、车子的人多了,而这是因为你发送到租车企业服务器里的信息有可能被盗走了……
春节租车远离风险指南:
(1)用户一定要到租车企业官网,或者知名应用商店下载相关App,尽量降低遭遇山寨版本App的可能;
(2)用户用于网络支付的银行卡里不要存放过多费用,且该银行卡尽量不要与其他任何银行卡关联;
(3)春节期间,租车企业需加强对自身App的安全检查,发现问题及时升级。
PS: 租车类App测评报告
笔者从某著名应用市场下载了16款知名租车类App应用,通过专业测评平台进行检测后发现租车类App安全问题相对比较严重,各项指标达到安全评级的尚不足50%,过度权限获取问题依然凸显,仅有20%的租车App(3个)在过度权限获取方面进行了适当控制。
1)App自身安全:主要指因安全漏洞而使得恶意攻击者可以对App执行非法反编译、非法调试等恶意操作,导致App自身代码、业务逻辑暴露并被恶意修改。测评结果显示App自身安全达安全级别的仅43%,特别是在代码安全防护方面问题严重。
2)隐私/敏感数据泄露风险:主要指因安全漏洞使得恶意攻击者可以非法获取用户账号、密码、手机号码、证件号码、身份令牌、服务器通信记录等隐私及敏感数据信息。测评结果显示该测评项达安全级别的仅40%,且问题点十分广泛,遍布租车类App的代码、调试、组件、日志函数、数字证书等多个方面。
3)身份认证安全风险:恶意攻击者利用App安全漏洞绕过App登录界面、验证码防护等业务安全认证流程,甚至非常轻易的非法获取本地明文存储用户名和密码直接登录,致使身份认证等安全措施失效。测评结果显示该测评项达安全级别的仅37%,且有很大可能会因App组件异常导出而引发相关问题。
4)钓鱼扣费风险:恶意攻击者通过安全漏洞非法调用App里的敏感函数,在用户未授权、不知情的情况下,非法订阅手机服务或非法下载安装钓鱼App,并恶意扣费。测评结果显示该测评项达安全级别的仅46%,对于个人用户而言潜在危害性依然很大。
5)恶意攻击防护能力:因App组件权限设置问题、组件安全漏洞、校验安全漏洞、远程代码执行安全漏洞等,导致黑客能够对App实施各类恶意攻击,极大降低App抵御外界恶意攻击的防护能力。测评结果显示该测评项达安全级别的为60%,达到及格线。
6)通信传输数据被截获风险:由于App安全漏洞使得恶意攻击者能够非法截获并解密App与服务器之间传输的信息数据,导致用户各种关键数据被非法暴露的风险。测评结果显示该测评项达安全级别的仅有24%,其中很大一部分风险来自于传输协议。
7)数据库安全风险:由于App某些组件权限设置错误,导致黑客能够实施数据库SQL注入攻击,或者通过提权、Root的方式非法访问该App的Webview数据库。测评结果显示该测评项达安全级别的仅有30%,Webview明文存储密码这类风险依然居多需提高警惕。
8)App服务器被攻击风险:由于App被恶意反编译、App调试日志文件信息意外泄露、明文存储数字证书被篡改,以及内网测试信息残留等安全漏洞,使得黑客能够藉此对服务器接口发起攻击,篡改服务器中的用户数据或造成服务器响应异常等。测评结果显示该测评项达安全级别的仅41%,其中有6款App在这方面的隐患极为严重。
9)DoS攻击风险:由于App组件导出风险问题使得黑客能够恶意调出App组件,并借助这些组件发起DoS拒绝服务攻击。测评结果显示该测评项达安全级别的仅13%,问题极为突出,租车企业必须对此类安全问题予以足够重视。