原標題:多款O2O軟件曝出支付漏洞 不接觸銀行卡也能轉款
控制所有的攝像頭��,或開(kāi)或關(guān)����,或拍攝本不該有的畫(huà)面……你以為這種黑技術(shù)只有《碟中諜》這類(lèi)好萊塢大片中才有���。然而在昨天舉辦的上海Geek Pwn(極棒)2015嘉年華中��,白帽黑客們就現場(chǎng)演示了這一幕幕“電影中的場(chǎng)景”����,其中一支代表隊現場(chǎng)就攻破了7只主流品牌攝像頭�,完全控制攝像頭的運動(dòng)和拍攝���。
在這場(chǎng)倍受人們關(guān)注的“黑客奧運會(huì )”上����,移動(dòng)支付���、O2O�、智能家居等領(lǐng)域的安全問(wèn)題成為今年的熱點(diǎn)��,超過(guò)40款主流智能軟硬件被安全極客們攻破����,包括華為��、小米��、京東�����、海爾等品牌都成為攻破對象�。
不接觸銀行卡也能轉走余額
如今許多消費者出門(mén)不帶現金�,習慣刷卡��。在現場(chǎng)���,一位選手演示了對大型POS機品牌盒子支付的攻破�����。他首先用一張他人的銀行卡完成一次刷卡交易�����,再用一張自己的銀行卡刷卡消費��。在此后的24小時(shí)之內���,他就可以用自己的卡無(wú)限次消費他人銀行卡上的余額了�����。
還有一位比賽選手����,在自始至終不接觸銀行卡本身的狀態(tài)下�����,將卡上的余額轉出�����。他首先通過(guò)手機綁定第一大POS機品牌拉卡拉收款寶�����,通過(guò)手機劫持交易信息����,獲得了余額信息�����。然后再輸入任意密碼�����,就將余額全部轉走����。整個(gè)過(guò)程選手本身并未直接接觸該銀行卡����,更沒(méi)有獲得該卡密碼��。
充值1分錢(qián)O2O軟件就可“隨便用”
站在互聯(lián)網(wǎng)+的風(fēng)口��,各類(lèi)O2O服務(wù)已經(jīng)成為日常生活的一部分��,一旦應用存在安全風(fēng)險����,不僅對用戶(hù)個(gè)人生活造成威脅�����,也威脅著(zhù)平臺商的數據和資金安全��。
一位比賽選手在現場(chǎng)成功演示了利用未知漏洞攻破“嘟嘟美甲”這一O2O的軟件系統���。選手通過(guò)支付寶為“嘟嘟美甲”官方APP上一賬號充值�,僅需實(shí)際支付1分錢(qián)���,就向這一賬號內充值任意金額����。此外����,e家潔�、功夫熊�、阿姨幫���、微票兒等O2O服務(wù)平臺都被證明有類(lèi)似漏洞�����。有觀(guān)眾當場(chǎng)大呼“這也太不安全了”�����。
有趣的是����,當選手試圖當場(chǎng)演示“e家潔”這一APP的漏洞時(shí)�����,發(fā)現官方關(guān)閉了云服務(wù)����。此前����,大賽組委會(huì )通知了該公司當天的賽事安排����。最后����,不得已換為“阿姨幫”���,也順利完成攻破�����。
對此���,支付寶方面立刻給出回應稱(chēng)�����,“經(jīng)我們的技術(shù)人員排查��,原因是商家APP發(fā)送付款單據給支付寶應用時(shí)���,在商戶(hù)APP內部被中間人劫持并篡改所致��,跟支付接口無(wú)關(guān)�����,并稱(chēng)支付寶已第一時(shí)間聯(lián)系該APP�,并愿意為其緊急修復提供幫助�����!
華為����、小米現場(chǎng)收到漏洞報告
在現場(chǎng)����,選手還同時(shí)對華為榮耀4A手機����、小米手機4C進(jìn)行獲取系統root權限的操作�,改變了兩部手機的開(kāi)機動(dòng)畫(huà)�����。評委說(shuō)����,這代表選手已經(jīng)攻破了兩部手機的最高root權限����。
據了解��,華為�����、小米廠(chǎng)商的安全負責代表也提前接到大賽邀請����,見(jiàn)證了當天的攻破行動(dòng)��。挑戰賽結束后�,他們第一時(shí)間接到了大賽組委會(huì )提交的漏洞報告�,并立刻做出響應����、及時(shí)修補����。對此����,他們并沒(méi)有回避�,并且指出:“問(wèn)題被發(fā)現和解決得越早����,產(chǎn)品越安全����!蔽/本報見(jiàn)習記者 溫婧
