近日,记者从补天漏洞响应平台获悉,近一个月来,不断有网友在平台中反馈O2O网站或APP有漏洞。
例如一名网友发现,一个名叫“上门帮”的生活服务类APP,主要经营上门足疗保健项目。有人能利用该APP存在的漏洞,获取顾客的昵称、联系电话、家庭地址、上门足浴项目、夜间服务费用等信息,甚至对消费时间都了如指掌。
另一网友则发现,一家名叫“隔壁老王”的生活服务类APP也存在漏洞。开发APP的团队称,可以改变用户的购物习惯。用户在APP上确定自己的位置后,“隔壁老王”就能提供周边商户的信息,用户可以选择商家并实现在线购买。
网友通过该APP的漏洞测试发现,可以查看数十万商品的信息,还有大批用户的姓名、住址、手机号、支付信息等。甚至可以轻松修改商品价格,“一分钱买下一个商店价值数十万的商品。”
核实 发给用户代码 可被轻易抓取
360安全专家对这些APP的漏洞核实后表示,顾客一般会用手机号码在APP上注册、发送服务要求,APP会向顾客发出代码。黑客可以通过漏洞抓取这个代码,顾客的个人信息就被窃取了。
专家表示,过去这种O2O模式的APP漏洞报告很少,但近期呈现出爆发趋势。近两个月来,他们已接到近20个APP的漏洞报告,这些APP的功能主要是上门提供服务,如上门足疗按摩、上门家政、上门洗车、上门送饭等。
专家称,老百姓要享受上门服务,就要在这些APP上输入详细的个人信息,比如爱好、生活习惯、手机号码、身份证、家庭住址等。这些信息一旦被人窃取会非常危险。
据介绍,补天漏洞响应平台是全球最大的漏洞响应平台,帮助企业建立安全应急响应中心。自2013年推出以来,补天平台帮助数百个厂商修复了安全漏洞,并保护了累计数百万网站免受黑客侵害。
而对于网友反馈的APP漏洞,专家核实后已将大部分漏洞信息通知了厂商,但真正进行修补的网站并不多。360的安全专家告诉记者,出现漏洞的主 要原因是,这些上门服务APP刚开始流行,厂家花十多万元就能推出一款APP。但这种仓促上马的APP安全性较差,导致漏洞频发。
专家提醒用户,要在正规应用市场下载APP,安装手机卫士等安全应用。在填写个人信息时,可模糊自己的姓名、地址。如只留姓氏,地址写到楼号即可。