據(jù)《青年報》報道,聚光燈下,孫零(化名)手指在鍵盤上來回滾動,屏幕上一串串代碼飛速略過。一分鐘后,四款共享單車APP悉數(shù)被破解,用戶信息完整出現(xiàn)在了孫零手機中。在日前結(jié)束的2017國際安全極客大賽GeekPwn年中賽上,這名25歲的女程序員一鳴驚人,但實際上,她涉足信息安全領(lǐng)域只有半年。“共享經(jīng)濟發(fā)展快是好事,但系統(tǒng)優(yōu)化跟不上就是好心辦壞事。”她希望,以此為契機敦促廠商修復(fù)漏洞,同時把共享經(jīng)濟背后潛在的信息安全風險展現(xiàn)在大眾面前。
“裸騎”女生展示黑入過程不到1分鐘
半個多月前,一則“90后女黑客秒破共享單車APP”的消息在網(wǎng)上傳開,作為事件的主人公,孫零直言還沒適應(yīng)“女黑客”這一稱號,“我充其量就是個信息安全愛好者。”
今年5月13日,孫零隨賽事主辦方踏上了香港某游輪,作為幾十名“白帽黑客”(攻擊系統(tǒng)以便進行安全審查的黑客)中唯一的一名女生,她的身影格外顯眼。
在比賽現(xiàn)場,孫零介紹小鳴單車、永安行、享騎和百拜四款共享單車都存在平臺漏洞。而通過攻擊這些漏洞,可以查看到平臺上任意用戶的賬戶信息,包括行駛路徑、賬戶余額等。“在評委聯(lián)網(wǎng)使用手機里四款單車APP時,我已經(jīng)通過網(wǎng)絡(luò)傳輸拿到了我想要的一些未解碼的數(shù)據(jù),接著再在我的電腦上寫個程序,解碼編譯到我自己的手機里,對方的用戶信息就到了我手上,再用這些信息騙過系統(tǒng)登錄APP,就可以穿別人的馬甲騎車了。”
比賽現(xiàn)場,為了證明攻擊成功,孫零還采取現(xiàn)場連線的方式展示了遠程用評委的共享單車賬號開鎖、騎行消費。讓人驚訝的是,整個攻擊過程用時不到一分鐘。
孫零指出,雖然技術(shù)層面看也許漏洞并不“高級”,但是造成的后果卻很嚴重。賬戶里的錢被盜刷還是小事,個人信息泄露后果不堪設(shè)想。“一般人騎車是為了通勤,路徑主要是家到地鐵站或者公司到地鐵站,一旦信息外泄,不法分子一定位就知道你家和單位的地址,再通過一些技術(shù)手段,你生活的方方面面都有可能暴露。”她戲稱,如果漏洞不及時修復(fù),不少用戶會面臨“在黑客面前裸騎”的窘境。“未知攻焉知防”,這是黑客圈的一句名言。在計算機專業(yè)出身的孫零看來,程序員正向?qū)懘a與反向挖漏洞之間用到的技術(shù)并沒有嚴格的分界線。
雖然比賽當天一舉攻破了四款共享單車APP的系統(tǒng),但孫零接觸信息安全領(lǐng)域只有短短半年。孫零坦言,最早關(guān)注信息安全領(lǐng)域,只是為了寫出更難被攻破的代碼。“有時候看到別人寫的代碼被攻擊了,會想想自己會怎么寫這個代碼。”她說,身為程序員,換位思考是一種職業(yè)習慣。
今年4月初,孫零將目光投向了熱門產(chǎn)業(yè)共享單車。翻看了一些相關(guān)報道后,她發(fā)現(xiàn),共享單車業(yè)務(wù)上的漏洞很多已見諸報端,但技術(shù)層面的卻鮮有人提及。“沒有報道不代表不存在漏洞,也許有人在利用這些漏洞牟利呢?”抱著試一試的心態(tài),她從自己最常用的摩拜單車APP入手研究,很快發(fā)現(xiàn)了漏洞,但還沒等孫零把結(jié)果發(fā)給企業(yè),當天摩拜就更新了系統(tǒng),修復(fù)了漏洞。
在一個月的時間里,她先后分析了十多款共享單車軟件,發(fā)現(xiàn)其中七款存在漏洞。雖然手握多款系統(tǒng)的漏洞,但孫零發(fā)現(xiàn),自己沒有有效的途徑將漏洞反饋給企業(yè)。最終,她選擇通過參加比賽由賽事主辦方向企業(yè)遞交漏洞報告。
比賽當天,她演示了攻破4款共享單車APP的過程。事后,她協(xié)助賽事主辦方擬寫了安全問題報告。據(jù)主辦方介紹,賽事組委會將在兩周內(nèi)將安全問題細節(jié)提交給相關(guān)廠商。廠商需在接收到安全問題報告后一周內(nèi),給予安全問題是否客觀存在的官方確認。在特定情況下,組委會將保留對相關(guān)安全問題的進一步處理權(quán)利,例如選擇第三方漏洞報告平臺對相關(guān)問題進行有限地公示,以敦促相應(yīng)廠商盡快重視和修復(fù)產(chǎn)品安全問題。
“碼農(nóng)”憑興趣學習或許是最好狀態(tài)
GeekPwn年中賽中,孫零最終獲得一個優(yōu)勝獎和一個由觀眾票選的最佳表現(xiàn)獎。對于榮譽,她十分謙虛,“可能大家覺得我是女孩子鼓勵一下。”
比賽結(jié)束后,從披露室出來的孫零成了媒體追逐的焦點,電話一刻沒停過。如今,比賽引起的風波漸漸平息,她又回歸了那個沉迷寫代碼的樸實“碼農(nóng)”。“宅”、“不修邊幅”是不少人對女程序員的刻板印象,之前網(wǎng)上流傳出一則“女程序員一年不洗澡”的新聞,同為程序員的孫零沒少被身邊不少朋友以此打趣。“不洗澡是不可能的,不化妝倒是真的。”孫零就職于一家小型互聯(lián)網(wǎng)公司,每天乘地鐵上下班。在她看來,化完妝擠地鐵得不償失,不如“多睡一會兒”。
雖然在打扮方面,孫零顯得大大咧咧,但對待工作,她卻異常投入。從浙江大學畢業(yè)后,這個陜西姑娘只身來到上海。她說,自己很享受上海快節(jié)奏的生活方式,“就算你自己慢下來,環(huán)境會推著你往前走。”
在一次次“看似不可能”的任務(wù)磨礪下,對未知的恐懼感逐漸消散,她說,自己現(xiàn)在變得特別愿意嘗試新事物,每天下班后都會鉆研自學技術(shù)。就連困擾她整整十多年的恐水癥,她也在工作一年之后成功克服。
對于未來,孫零表示會繼續(xù)探索信息安全領(lǐng)域,但并不想給自己壓力,“憑著興趣去學習或許是最好的狀態(tài)。
| 
