Gobee.Bike經 unwire 訪問後得悉,由概念到推出只用了兩個月時間,難怪有些安排不當。早前我們記者遇到按金無故被扣又租不到車的問題,客戶指可申請退款,不過有網友阿 GAP 解拆他們的 App 卻發現非常嚴重的保安漏洞 ! 並建議用家「CUT 咭保平安」
以下是 阿 Gap 文章:
由於事態非常嚴重,此文章會函蓋分析三個重點:
- 保安漏洞
- 受害者可能存在的風險
- 檢查自己是否受害者的方法
信用咭資料欠加密儲於伺服器 違反 PCI
詳細分析 Gobee.Bike Android V0.0.9 APK Decompile 後的檔案,有以下發現:
- 信用卡資料(包括信用卡號碼、CVV、到期日)以沒有加密的方式(http)被傳送到 Gobee.Bike 伺服器 (V0.1.0 版本已移除)
- 信用卡資料(包括信用卡號碼、CVV、到期日)以可解密或未加密方式儲存於 Gobee.Bike 伺服器
- 所有資料(例如信用卡資料、用戶密碼等等…)均使用沒有加密的方式(http) 傳送
以上已經嚴重違反了 PCI (Payment Card Industry Data Security Standard)。
信用咭資料赤裸傳送 極易被偷取
每當用戶點擊自己的「用戶資料」時 ,用戶的信用卡資料都會由 Gobee.Bike 伺服器經過沒有加密的方式(http) 傳送到 Android 手機上。基本上每開啟一次該 Gobee.Bike App 就會增加信用卡資料落入黑客手上嘅機會。
黑客攔截網絡傳送資料,所有信用卡資料都會直接被讀取。例如透過:使用不知名公共 WiFi、黑客設陷阱假扮知名公共 WiFi、已感染木馬程式嘅 Android 手機
現時已知所有使用 Gobee.Bike App V0.0.9 版本登記嘅用戶都有極大機會成為受害者。
管理員或可看你信用咭資料
Gobee.Bike 伺服器以可解密或未經加密方式儲存信用卡資料,一旦伺服器被駭,將會漏泄所有用戶信用卡資料。
資料庫操作員及其他開發人員或有存取權限,只要心存一念之惡下載所有用戶信用卡資料,所有信用卡資料均有可能隨時被盜用。例如 三個月後?半年後?一年後?兩年後?
檢查自己是否受害者
檢查方法:使用私人電腦於 GoBee.Bike 的伺服器 登入,再直接由伺服器取得自己的用戶資料;由於 GoBee.Bike 的伺服器使用未經加密連線,使用此檢查方法前,請先確保使用私人電腦以及私人網絡,並建議使用 Chrome 無痕模式。
Step 1:
使用電腦於最新版的 Chrome 點擊開啟 GoBee.Bike 的伺服器地址
使用滑鼠右鍵點擊任何空白地方
按「檢查 (Inspect)」(如圖 )
Step 2:
– 點擊 「Console」(如圖內 A.)
– 複製以及貼上代碼 (如下)
– 修改 THIS_IS_YOUR_PHONE 為你的登記電話號碼 (如圖內 B.)
– 修改 THIS_IS_YOUR_LOGIN_PASSWORD 為你的登入密碼 (如圖內 B.)
– 使用鍵盤按「Enter」鍵運行代碼
– 仔細閱讀代碼運行後的訊息
阿 Gap 的忠告:
由於事態非常嚴重,若果你已測試咗自己係受害者,阿 Gap 強烈建議你
Cut 卡保平安
但若果你等緊 Gobee.Bike Refund,由呢一瞬間開始,唔好再打開 Gobee.Bike App,直至有更新解決上述問題為止!待 Refund 完成後再 Cut 卡保平安。
總發現列表(開發者限定)
V0.1.0 更新後,原本將用戶信用卡資料上傳到伺服器改成毫無關係嘅輸入(基本上係亂入)
- Android 基本 Proguard 都無做
- 全 Http
- Hard-code AWS EC2-instance IP,連 Domain 都無
- 用 8088 Port (非標準 80/443 port)
- Debug Logging 有大量簡體字(你懂的)
- Tomcat Manager Expose
- 獨特的 API 設計 (非 RESTful)
- 用咗 Stripe 做 Payment
- 亂用 Retrofit…
文章獲授權轉載 , 來源 :
http://blog.gaplotech.com/gobee-bike-credit-card-risk/
Gobee Bike CEO 回應:
( 22/4 1:50pm 更新) :
他們已經知道舊版本存有保安漏洞,大約有 450 用家受影響,用戶的信用咭資料已經永久刪除,並且檢查過伺服器沒有發現資訊外洩,並於上星期四晚推出了修復。最新版本的 APP ,用戶資料已經不再儲存用戶信用咭資料於伺服器上,並使用 Stripe 作為 Payment Gateway。他們會於星期四晚推出更新版本。
他們工程師再補充 : (22/4 2:48pm)
現在雖然最新版仍要求 Credit Card 資料,但其實是為應付 server 舊版本的相容性,用家填完後只是送出空的資料到伺服器上 (經阿 Gap 証實無誤) ,而伺服器於今晚 (22/4) 會更新到 HTTPS 加密。工程師勸大家停用 0.0.9 或以前的版本。
CEO 再補充 (22/4 2:48pm)
對於 450 受影響的用家,GoBee 會經登記時的電郵及電話通知他們,並會於 Facebook 及網站上貼出告示,提醒用戶小心。
原文:
We have identified a security issue within our first build. It affected approximately 450 users of the app. We have made our top priority to fix it and we released our security fix on Thursday night. We have performed system check and found no information was leaked.
With our current version, we no longer store credit card data, and any data that was collected has been permanently deleted. Our app payment is fully secured using Stripe payment getaway. We are confident that registered users will not experience any credit card problems. We take full responsibility if any problem occurs.
Customers can ask for an immediate refund at contact@gobee.bike anytime. Our IT team has grown from 1 to 6 developers in just 2 weeks and we are doing our best to build-up a great product for the benefits of Hong Kong people. Our goal is to make Hong Kong green by creating a bike community. We also welcome all feedback regarding our product and cybersecurity to implement them right away.
On behalf of the Gobee Bike Team