在近日举行的2017国际安全极客大赛GeekPwn年中赛上，浙大计算机系毕业的女“黑客”tyy（化名）花了不到一分钟的时间，攻破了评委手机预装的小鸣、永安行、享骑和百拜等4款共享单车的App。

App能够被黑意味着，黑客可以利用共享单车App存在的安全漏洞，用别人的账号远程骑车，用的也是别人的钱。

最重要的是，黑客直接获取了用户的账号密码、骑行路线、GPS定位、账号余额等个人信息，这些个人信息的泄露可能导致用户经常接到推销电话、垃圾短信，严重的还有诈骗和其他App账户被盗的可能。

在国际安全极客大赛现场，女“黑客”tyy利用共享单车App的漏洞，顺利“黑”入了评委手机上的4款共享单车App，提取了对方包括历史骑行路径、骑行时间、GPS定位、账户余额和注册账户信息等在内的个人信息。

同时，她将这些信息同步到了一名同伴的手机上，之后这名位于上海的同伴就拿着同款App，用着评委被黑的账号，顺利骑上了共享单车，而评委这边则没有任何提示。

tyy称，App可以这样一直消费下去，且被入侵的用户不会有任何察觉。她表示，她用了一个月的时间看了十几款共享单车，这种情况在共享单车App上非常普遍，目前演示了4款，推测另外几款也有类似的问题。

4月初，她首先发现摩拜单车存在安全漏洞，但不久后摩拜将漏洞修复，她又随机测试了众多品牌单车，发现小鸣单车、永安行、享骑和百拜单车也存在该问题，这四款单车的漏洞不同，但结果相同。

tyy谈到为何选择共享单车作为攻击目标时说：“我自己是个程序员，我也是一个共享单车用户。我用的时候就想，如果这是我自己写的应用，有哪些可能被攻击、需要修复，然后就做了这样的尝试。我一个月的时间看了十几款单车，现在有问题的是7款，今天演示了4款，我判断另外3款也有问题，但是没有进行全部的验证。”

为什么这么多共享单车的App都有安全问题？tyy表示，可能是创业者们都太着急了，并没有周全细致地开发App，只是想着将产品快速投入市场。

目前，tyy已经将发现的漏洞都提交给了相应的共享单车团队，希望他们能即时修复漏洞。

记者下载并体验了多款共享单车App发现，用户信息主要涉及三方面：用户的手机号、地理位置信息（家庭、公司地址）和个人账户信息，部分需要实名认证的共享单车还涉及身份证信息。

用户的历史骑车路径、GPS定位、实名认证等信息遭泄露，相当于用户的真实姓名、手机号、住址、工作单位都被黑客所掌控。这些信息可能会被拿到黑市上贩卖，不法分子就会根据用户地理位置展开精准的卖房、卖车推销，给用户发送垃圾短信、垃圾邮件，严重的还会发生诈骗及账户被盗。

1、App分等级管理，设置不同的账号密码

很多人微信账号有工作号和生活号，建议App最好分类隔离信息管理，分成涉及资金类的App和一般App，设置两套不同的账户和密码。

将App区别不同的安全等级并设置不同的账户密码，可防止连环盗号。

2、不要随意登录免费wifi，随意刷二维码

下载App时，最好从官方网站上下载或通过合格经营的第三方应用市场下载，并适当查核发布者的资质。在平时使用App时，不要随意登录假wifi，随意刷二维码，不经查核就登录钓鱼网站，以及图贪便宜购买假冒的移动终端硬件等。

3、App通过正规渠道下载

山寨App或存在窃取个人信息、恶意扣费等问题，建议用户通过应用商店下载而不要通过网络搜索下载；对于陌生的App最好提前了解甄别，以防落入山寨陷阱。遇到山寨App欺诈的，及时予以举报维权。

4、尽量关闭应用的敏感权限

要加强网络安全意识，下载手机应用要认准知名应用商店，安装应用后查看应用开放的权限，读取通讯录、读取短信通话记录等敏感权限尽量关闭。