春節租車必看!有錢有車回家過年遠離風險指南
臨近春節,搶機票、搶火車票、搶租車、搶年貨、搶紅包……總之,過春節的主題之一就是搶!搶!搶!
年前搶,年后搶,前幾天,神州租車發布的《2018春節租車大數據》顯示,神州租車2018春節訂單中返鄉團圓用戶占比達67%,三四線城市租車訂單同比增長超過50%。另外,二三線城市境外租車訂單量也增長逾兩倍。
看來,租車真的是越來越流行了,有錢有車回家過年,團團圓圓本來是一件很高興的事情,過五關斬六將,終于搶到了一個心儀的車型和價格。然而,你的心情就在騙子盯上你的那一刻被摧毀了,你在放假回家的路上,但是騙子可全年無休,而且大家越放假,騙子越忙活。今天,就來聊一聊租車App的那些風險事兒。
1、真真假假傻傻分不清,山寨App助騙子開啟饕餮盛宴!
現今騙子玩山寨的本領越來越高強,制作個“李鬼”應用(仿冒軟件)極難被識破。騙子會通過盜用官方應用圖標、用戶應用名甚至應用內容框架等方式,混淆欺騙用戶下載安裝假App,最終實現非法斂財。
對于用戶而言,不小心安裝了一款山寨應用,那么跟你說聲抱歉,你已經成為了騙子的獵物!
而對于租車企業來說,一款你家的仿冒應用被下載安裝可并不僅僅是丟失用戶這么簡單,騙子會通過這些山寨App一步步剝奪租車企業的信譽度、核心數據資料甚至是金融資產!
2、扣、扣、扣……用戶錢包持續被掏空
租過車的朋友都知道還車以外的時間如果你還在用車是要額外收費滴,這很正常。但是如果租車企業App的安全保護沒有做到位,那么用戶很有可能要被一大堆莫名其妙的“花費”給逼瘋:
咦~~~好奇怪,才多開了這么點兒里程,咋被扣了如此多的錢?
咦~~~好奇怪,車都還了,咋又被扣了一筆租車費~還是豪車瑪莎拉蒂!找廠商算賬去!
……啊~~~要瘋啦,電子錢包都被“扣”空啦!
~~~最最崩潰的還有銀行卡也被盜刷!!
然后,問題來了,用戶多支付的錢去哪了呢?雖然租車企業會很冤枉的說“這筆錢真沒進到我的賬戶里”,可官司還是吃定了……
3、租車App蝸牛速度打開,租車企業業務被添“堵”
在商業間諜網絡化的今天,租車企業App里的一些潛藏缺陷、安全漏洞都可能被惡意攻擊者利用,各類招數齊發,嚴重擾亂租車企業業務的正常運行,例如用戶很難打開租車App進行租車交易,或者用戶剛剛支付的租車費用莫名消失遲遲得不到確認回復。租車企業的后臺業務服務器甚至會被惡意攻擊而徹底掛掉,眼睜睜錯失春節如此大好商機時期。
4、租車之后發現找你“貸款”、“買保險”、“買房子”的人多了,煩不勝煩
開開心心過完年回來之后,發現找你“貸款”的人多了,給你推銷保險、房子、車子的人多了,而這是因為你發送到租車企業服務器里的信息有可能被盜走了……
春節租車遠離風險指南:
(1)用戶一定要到租車企業官網,或者知名應用商店下載相關App,盡量降低遭遇山寨版本App的可能;
(2)用戶用于網絡支付的銀行卡里不要存放過多費用,且該銀行卡盡量不要與其他任何銀行卡關聯;
(3)春節期間,租車企業需加強對自身App的安全檢查,發現問題及時升級。
PS: 租車類App測評報告
筆者從某著名應用市場下載了16款知名租車類App應用,通過專業測評平臺進行檢測后發現租車類App安全問題相對比較嚴重,各項指標達到安全評級的尚不足50%,過度權限獲取問題依然凸顯,僅有20%的租車App(3個)在過度權限獲取方面進行了適當控制。
1)App自身安全:主要指因安全漏洞而使得惡意攻擊者可以對App執行非法反編譯、非法調試等惡意操作,導致App自身代碼、業務邏輯暴露并被惡意修改。測評結果顯示App自身安全達安全級別的僅43%,特別是在代碼安全防護方面問題嚴重。
2)隱私/敏感數據泄露風險:主要指因安全漏洞使得惡意攻擊者可以非法獲取用戶賬號、密碼、手機號碼、證件號碼、身份令牌、服務器通信記錄等隱私及敏感數據信息。測評結果顯示該測評項達安全級別的僅40%,且問題點十分廣泛,遍布租車類App的代碼、調試、組件、日志函數、數字證書等多個方面。
3)身份認證安全風險:惡意攻擊者利用App安全漏洞繞過App登錄界面、驗證碼防護等業務安全認證流程,甚至非常輕易的非法獲取本地明文存儲用戶名和密碼直接登錄,致使身份認證等安全措施失效。測評結果顯示該測評項達安全級別的僅37%,且有很大可能會因App組件異常導出而引發相關問題。
4)釣魚扣費風險:惡意攻擊者通過安全漏洞非法調用App里的敏感函數,在用戶未授權、不知情的情況下,非法訂閱手機服務或非法下載安裝釣魚App,并惡意扣費。測評結果顯示該測評項達安全級別的僅46%,對于個人用戶而言潛在危害性依然很大。
5)惡意攻擊防護能力:因App組件權限設置問題、組件安全漏洞、校驗安全漏洞、遠程代碼執行安全漏洞等,導致黑客能夠對App實施各類惡意攻擊,極大降低App抵御外界惡意攻擊的防護能力。測評結果顯示該測評項達安全級別的為60%,達到及格線。
6)通信傳輸數據被截獲風險:由于App安全漏洞使得惡意攻擊者能夠非法截獲并解密App與服務器之間傳輸的信息數據,導致用戶各種關鍵數據被非法暴露的風險。測評結果顯示該測評項達安全級別的僅有24%,其中很大一部分風險來自于傳輸協議。
7)數據庫安全風險:由于App某些組件權限設置錯誤,導致黑客能夠實施數據庫SQL注入攻擊,或者通過提權、Root的方式非法訪問該App的Webview數據庫。測評結果顯示該測評項達安全級別的僅有30%,Webview明文存儲密碼這類風險依然居多需提高警惕。
8)App服務器被攻擊風險:由于App被惡意反編譯、App調試日志文件信息意外泄露、明文存儲數字證書被篡改,以及內網測試信息殘留等安全漏洞,使得黑客能夠藉此對服務器接口發起攻擊,篡改服務器中的用戶數據或造成服務器響應異常等。測評結果顯示該測評項達安全級別的僅41%,其中有6款App在這方面的隱患極為嚴重。
9)DoS攻擊風險:由于App組件導出風險問題使得黑客能夠惡意調出App組件,并借助這些組件發起DoS拒絕服務攻擊。測評結果顯示該測評項達安全級別的僅13%,問題極為突出,租車企業必須對此類安全問題予以足夠重視。
