你想不想通过Uber打车服务来免费乘车呢?如果你是Uber打车服务的忠实用户,或者你曾经使用过Uber的叫车服务,那么这篇文章绝对会让你兴奋不已。因为有一名来自埃及的独立安全研究员在Uber应用程序中发现了一个严重的安全漏洞,这个漏洞将允许潜在的攻击者通过暴力破解等手段获取到Uber的优惠码,通过这些有效的促销码,攻击者就可以实现免费乘车了。
Mohamed M.Fouad在漏洞研究方面有着异于常人的造诣,而这名安全研究人员近期发现,他可以利用暴力破解等手段破解Uber应用程序中的“优惠码”功能,并从中获取到高额的优惠码。据他所说,他可以获取到价值两万五千美金的优惠码。Fouad在Uber的注册邀请链接中发现了这个“优惠码”漏洞,Uber注册邀请链接允许任何一名用户邀请其他的用户加入Uber服务,邀请成功之后,用户将可以得到相应的优惠码,如果优惠码的面值足够大,那么用户就可以免费乘坐一次甚至多次出租车了。
Fouad发现,在Uber应用程序的优惠码功能中,并没有对用户的尝试输入次数或者输入频率进行限制,这也就意味着,Uber用户可以不停地尝试输入优惠码,其操作次数和频率完全不会受到系统限制。Fouad可以利用这个漏洞来不断地生成优惠码,直到找出一个可用的优惠码为止。除此之外,他还发现他可以自定义生成形如“uber+code_name”的优惠码。
与往常一样,Fouad将这个暴力破解漏洞提交给了Uber公司的技术部门,以便他们及时修复这一漏洞。但令人惊讶的是,这个漏洞并没有吸引Uber公司的注意力,而且Uber公司也并不打算修复这个漏洞。Fouad在接受Techworm网站采访时表示,他对Uber公司的这一回应感到十分惊讶,他说到:“原来,我并不是唯一一个向他们报告这一漏洞的安全研究人员,但这也说明我们所有人都认为这的确是一个安全漏洞。”
现在,虽然Uber公司在其支付页面中设置了输入尝试的限制,但是其优惠码功能中仍然存在安全漏洞,应用程序仍然无法抵御暴力破解攻击。
但无论怎样,在Uber公司完全修复这一漏洞之前,潜在的攻击者都可以享受免费乘车服务。