全能APP搞定所有共享单车？海云安提醒安全风险需警惕！

近日现代快报记者发现，一个叫“全能车”的APP悄然出现，声称只要一份押金，任意品牌单车随心骑。

在南京市场上共有12个共享单车品牌，许多市民为了获得更多的便利，同时在使用多种单车，但烦恼也随之而来：每种单车都要下载单独的APP，手机内存吃不消；每个APP都要支付押金，钱包也吃不消。方便是方便了，不过，现代快报记者从各共享单车运营商了解到，他们并未给该APP授权。那么，这款APP违法吗？存在哪些风险呢？ 

南京5家共享单车可用，轻易解锁3家

现代快报记者下载该APP试用了一下。打开APP界面定位后，屏幕上会显示出不同颜色的小点，代表不同品牌的单车。黄色的是ofo，蓝色的是小蓝，红色的是摩拜和哈罗。

APP内醒目位置显示，目前在南京，可通过该APP使用ofo、摩拜、小蓝、哈罗和永安行5家共享单车，涵盖了各个车型。

在使用前，需要填写姓名、身份证号进行实名认证，同时需要填写手机号。先充值再用车，可用支付宝和微信。记者在充值后试了一下，可以顺利打开小蓝、ofo和哈罗，摩拜一连试了5辆都无法解锁，扫码后显示“请稍后再试或选择其他品牌单车”和“正在解锁中”。

调查 -- 多家共享单车运营商称并未授权

抛开退款问题，集合各家单车于一个APP内，确实是方便。然而，现代快报记者随后从摩拜、ofo、哈罗等多家共享单车运营商了解到，他们均表示没有对这款APP进行授权，并已经通过各种技术手段进行了持续封禁。

既然多家共享单车运营商都没有对该APP进行授权，那这个APP的运作原理是什么？

相关采访中，ofo的相关负责人介绍说，根据他们的了解，全能车购买了许多实名制的身份证信息，实名认证注册ofo、摩拜、小蓝等共享单车。当有人用全能车APP用车时，等于是用了别人的身份信息用车。

这也就是为什么会有很多人身份证信息已经被别人注册过共享单车。简单来说，全能车等于是拿ABCD四个用户的身份证信息，去帮EFGH用户用车。当用户EFGH使用共享单车时，只要发出了需求，系统就会自动对接该公司事先注册好的公用账户ABCD，达成订单。

目前来看，全能车至少面临两方面的安全风险问题：

风险1、资金安全缺乏监管、意外事故或无法理赔

今年5月份，交通运输部发布《关于鼓励和规范互联网租赁自行车发展的指导意见（征求意见稿）》，提出企业对用户收取押金、预付资金的，应严格区分企业自有资金和用户押金、预付资金，在企业注册地开立用户押金、预付资金专用账户，实施专款专用，接受监管，防控用户资金风险。

对于全能车APP，当记者问到有没有进行押金监管等问题时，该APP客服避而不谈，并反问，“什么时候想退都可以，还不能保证你的安全吗？你要是担心也可以不用，都是自愿使用。”

另外，如果在使用该APP骑行时出现了意外，用户能否获得理赔，责任由谁来承担？客服人员表示称：如果摩拜等单车给用户买了保险，就有保险。

但摩拜表示，如果用户骑单车出了事故，必须是从摩拜APP和小程序入口进入，才能享受该公司购买的保险赔付。哈罗单车也表示，如果用户骑车遇到了意外伤害等问题，肯定是要找全能车来解决。“全能车在这里下单的用户跟真实的肯定对不上，保险没法承担。”

北京中银（南京）律师事务所左迎春律师表示，从目前的情况来看，全能车没有得到共享单车运营商的授权。保险公司是与共享单车运营商而非全能车公司存在投保关系的，因而在车辆使用过程中出现意外，无法得到相应的赔偿。同时用户在使用他人身份信息使用共享单车的时候，其自身的身份信息也可能被别人利用了。

风险2、全能车APP的自身安全风险难以保障

就在前不久的“GeekPwn”极客大赛年中赛上，小鸣单车、永安行、享骑和百拜四款共享单车APP的漏洞被网名为“tyy”的女程序员不到一分钟轻松破解。利用应用程序的漏洞，tyy直接获取了用户的个人资料，并现场远程连线，演示利用他人账户，实现开锁、骑行的过程。

海云安信息安全专家认为，全能车APP未经众多共享单车协议授权，涉及到十几家共享单车的信息接入系统、支付信息转接协议等，其APP平台相当于一个未经授权的“信息中转系统平台”，众多共享单车用户通过全能车APP进行统一的开锁，支付，定位等操作，将导致大量敏感数据通过该全能车APP进行传输、流转等，黑客一旦进行针对性的破解，用户相关的电话信息、支付账号、个人位置信息等等将直接被窃取，甚至有可能顺藤摸瓜威胁到其余共享单车账户的信息安全。

这些信息可能会被拿到黑市上进行贩卖，不法分子就会根据用户地理位置展开精准的卖房、卖车推销，给用户发送垃圾短信、垃圾邮件，严重的还会发生诈骗及账户被盗等风险。

海云安建议广大消费者，目前随着移动应用的快速普及发展，APP的开发方往往重功能而轻安全，不少 APP看起来功能繁多，一定程度上可以为用户带来生活上的便利，但是其应用自身的系统安全性及业务安全性，普遍无法得到有效保障。建议广大消费者用户不要轻易尝试，一旦发生安全事件，轻则个人信息泄露，重则引发诈骗等财产损失。

您也可以关注我们的官方微信公众号（ID：ctoutiao），给您更多好看的内容。