臨近春節(jié)，搶機(jī)票、搶火車票、搶租車、搶年貨、搶紅包……總之，過春節(jié)的主題之一就是搶！搶！搶！

[[219963]]

年前搶，年后搶，前幾天，神州租車發(fā)布的《2018春節(jié)租車大數(shù)據(jù)》顯示，神州租車2018春節(jié)訂單中返鄉(xiāng)團(tuán)圓用戶占比達(dá)67%，三四線城市租車訂單同比增長(zhǎng)超過50%。另外，二三線城市境外租車訂單量也增長(zhǎng)逾兩倍。

看來，租車真的是越來越流行了，有錢有車回家過年，團(tuán)團(tuán)圓圓本來是一件很高興的事情，過五關(guān)斬六將，終于搶到了一個(gè)心儀的車型和價(jià)格。然而，你的心情就在騙子盯上你的那一刻被摧毀了，你在放假回家的路上，但是騙子可全年無休，而且大家越放假，騙子越忙活。今天，就來聊一聊租車App的那些風(fēng)險(xiǎn)事兒。

[[219964]]

1、真真假假傻傻分不清，山寨App助騙子開啟饕餮盛宴！

現(xiàn)今騙子玩山寨的本領(lǐng)越來越高強(qiáng)，制作個(gè)“李鬼”應(yīng)用（仿冒軟件）極難被識(shí)破。騙子會(huì)通過盜用官方應(yīng)用圖標(biāo)、用戶應(yīng)用名甚至應(yīng)用內(nèi)容框架等方式，混淆欺騙用戶下載安裝假App，最終實(shí)現(xiàn)非法斂財(cái)。

對(duì)于用戶而言，不小心安裝了一款山寨應(yīng)用，那么跟你說聲抱歉，你已經(jīng)成為了騙子的獵物！

而對(duì)于租車企業(yè)來說，一款你家的仿冒應(yīng)用被下載安裝可并不僅僅是丟失用戶這么簡(jiǎn)單，騙子會(huì)通過這些山寨App一步步剝奪租車企業(yè)的信譽(yù)度、核心數(shù)據(jù)資料甚至是金融資產(chǎn)！

[[219965]]

2、扣、扣、扣……用戶錢包持續(xù)被掏空

租過車的朋友都知道還車以外的時(shí)間如果你還在用車是要額外收費(fèi)滴，這很正常。但是如果租車企業(yè)App的安全保護(hù)沒有做到位，那么用戶很有可能要被一大堆莫名其妙的“花費(fèi)”給逼瘋：

咦~~~好奇怪，才多開了這么點(diǎn)兒里程，咋被扣了如此多的錢？

咦~~~好奇怪，車都還了，咋又被扣了一筆租車費(fèi)~還是豪車瑪莎拉蒂！找廠商算賬去！

……啊~~~要瘋啦，電子錢包都被“扣”空啦！

~~~最最崩潰的還有銀行卡也被盜刷！！

[[219966]]

然后，問題來了，用戶多支付的錢去哪了呢？雖然租車企業(yè)會(huì)很冤枉的說“這筆錢真沒進(jìn)到我的賬戶里”，可官司還是吃定了……

3、租車App蝸牛速度打開，租車企業(yè)業(yè)務(wù)被添“堵”

在商業(yè)間諜網(wǎng)絡(luò)化的今天，租車企業(yè)App里的一些潛藏缺陷、安全漏洞都可能被惡意攻擊者利用，各類招數(shù)齊發(fā)，嚴(yán)重?cái)_亂租車企業(yè)業(yè)務(wù)的正常運(yùn)行，例如用戶很難打開租車App進(jìn)行租車交易，或者用戶剛剛支付的租車費(fèi)用莫名消失遲遲得不到確認(rèn)回復(fù)。租車企業(yè)的后臺(tái)業(yè)務(wù)服務(wù)器甚至?xí)粣阂夤舳鴱氐讙斓?，眼睜睜錯(cuò)失春節(jié)如此大好商機(jī)時(shí)期。

4、租車之后發(fā)現(xiàn)找你“貸款”、“買保險(xiǎn)”、“買房子”的人多了，煩不勝煩

開開心心過完年回來之后，發(fā)現(xiàn)找你“貸款”的人多了，給你推銷保險(xiǎn)、房子、車子的人多了，而這是因?yàn)槟惆l(fā)送到租車企業(yè)服務(wù)器里的信息有可能被盜走了……

春節(jié)租車遠(yuǎn)離風(fēng)險(xiǎn)指南：

（1）用戶一定要到租車企業(yè)官網(wǎng)，或者知名應(yīng)用商店下載相關(guān)App，盡量降低遭遇山寨版本App的可能；

（2）用戶用于網(wǎng)絡(luò)支付的銀行卡里不要存放過多費(fèi)用，且該銀行卡盡量不要與其他任何銀行卡關(guān)聯(lián)；

（3）春節(jié)期間，租車企業(yè)需加強(qiáng)對(duì)自身App的安全檢查，發(fā)現(xiàn)問題及時(shí)升級(jí)。

PS: 租車類App測(cè)評(píng)報(bào)告

筆者從某著名應(yīng)用市場(chǎng)下載了16款知名租車類App應(yīng)用，通過專業(yè)測(cè)評(píng)平臺(tái)進(jìn)行檢測(cè)后發(fā)現(xiàn)租車類App安全問題相對(duì)比較嚴(yán)重，各項(xiàng)指標(biāo)達(dá)到安全評(píng)級(jí)的尚不足50%，過度權(quán)限獲取問題依然凸顯，僅有20%的租車App（3個(gè)）在過度權(quán)限獲取方面進(jìn)行了適當(dāng)控制。

1）App自身安全：主要指因安全漏洞而使得惡意攻擊者可以對(duì)App執(zhí)行非法反編譯、非法調(diào)試等惡意操作，導(dǎo)致App自身代碼、業(yè)務(wù)邏輯暴露并被惡意修改。測(cè)評(píng)結(jié)果顯示App自身安全達(dá)安全級(jí)別的僅43%，特別是在代碼安全防護(hù)方面問題嚴(yán)重。

2）隱私/敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)：主要指因安全漏洞使得惡意攻擊者可以非法獲取用戶賬號(hào)、密碼、手機(jī)號(hào)碼、證件號(hào)碼、身份令牌、服務(wù)器通信記錄等隱私及敏感數(shù)據(jù)信息。測(cè)評(píng)結(jié)果顯示該測(cè)評(píng)項(xiàng)達(dá)安全級(jí)別的僅40%，且問題點(diǎn)十分廣泛，遍布租車類App的代碼、調(diào)試、組件、日志函數(shù)、數(shù)字證書等多個(gè)方面。

3）身份認(rèn)證安全風(fēng)險(xiǎn)：惡意攻擊者利用App安全漏洞繞過App登錄界面、驗(yàn)證碼防護(hù)等業(yè)務(wù)安全認(rèn)證流程，甚至非常輕易的非法獲取本地明文存儲(chǔ)用戶名和密碼直接登錄，致使身份認(rèn)證等安全措施失效。測(cè)評(píng)結(jié)果顯示該測(cè)評(píng)項(xiàng)達(dá)安全級(jí)別的僅37%，且有很大可能會(huì)因App組件異常導(dǎo)出而引發(fā)相關(guān)問題。

4）釣魚扣費(fèi)風(fēng)險(xiǎn)：惡意攻擊者通過安全漏洞非法調(diào)用App里的敏感函數(shù)，在用戶未授權(quán)、不知情的情況下，非法訂閱手機(jī)服務(wù)或非法下載安裝釣魚App，并惡意扣費(fèi)。測(cè)評(píng)結(jié)果顯示該測(cè)評(píng)項(xiàng)達(dá)安全級(jí)別的僅46%，對(duì)于個(gè)人用戶而言潛在危害性依然很大。

5）惡意攻擊防護(hù)能力：因App組件權(quán)限設(shè)置問題、組件安全漏洞、校驗(yàn)安全漏洞、遠(yuǎn)程代碼執(zhí)行安全漏洞等，導(dǎo)致黑客能夠?qū)pp實(shí)施各類惡意攻擊，極大降低App抵御外界惡意攻擊的防護(hù)能力。測(cè)評(píng)結(jié)果顯示該測(cè)評(píng)項(xiàng)達(dá)安全級(jí)別的為60%，達(dá)到及格線。

6）通信傳輸數(shù)據(jù)被截獲風(fēng)險(xiǎn)：由于App安全漏洞使得惡意攻擊者能夠非法截獲并解密App與服務(wù)器之間傳輸?shù)男畔?shù)據(jù)，導(dǎo)致用戶各種關(guān)鍵數(shù)據(jù)被非法暴露的風(fēng)險(xiǎn)。測(cè)評(píng)結(jié)果顯示該測(cè)評(píng)項(xiàng)達(dá)安全級(jí)別的僅有24%，其中很大一部分風(fēng)險(xiǎn)來自于傳輸協(xié)議。

7）數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)：由于App某些組件權(quán)限設(shè)置錯(cuò)誤，導(dǎo)致黑客能夠?qū)嵤?shù)據(jù)庫(kù)SQL注入攻擊，或者通過提權(quán)、Root的方式非法訪問該App的Webview數(shù)據(jù)庫(kù)。測(cè)評(píng)結(jié)果顯示該測(cè)評(píng)項(xiàng)達(dá)安全級(jí)別的僅有30%，Webview明文存儲(chǔ)密碼這類風(fēng)險(xiǎn)依然居多需提高警惕。

8）App服務(wù)器被攻擊風(fēng)險(xiǎn)：由于App被惡意反編譯、App調(diào)試日志文件信息意外泄露、明文存儲(chǔ)數(shù)字證書被篡改，以及內(nèi)網(wǎng)測(cè)試信息殘留等安全漏洞，使得黑客能夠藉此對(duì)服務(wù)器接口發(fā)起攻擊，篡改服務(wù)器中的用戶數(shù)據(jù)或造成服務(wù)器響應(yīng)異常等。測(cè)評(píng)結(jié)果顯示該測(cè)評(píng)項(xiàng)達(dá)安全級(jí)別的僅41%，其中有6款A(yù)pp在這方面的隱患極為嚴(yán)重。

9）DoS攻擊風(fēng)險(xiǎn)：由于App組件導(dǎo)出風(fēng)險(xiǎn)問題使得黑客能夠惡意調(diào)出App組件，并借助這些組件發(fā)起DoS拒絕服務(wù)攻擊。測(cè)評(píng)結(jié)果顯示該測(cè)評(píng)項(xiàng)達(dá)安全級(jí)別的僅13%，問題極為突出，租車企業(yè)必須對(duì)此類安全問題予以足夠重視。