原標題:多款O2O軟件曝出支付漏洞 不接觸銀行卡也能轉(zhuǎn)款
控制所有的攝像頭,或開或關(guān)����,或拍攝本不該有的畫面……你以為這種黑技術(shù)只有《碟中諜》這類好萊塢大片中才有。然而在昨天舉辦的上海Geek Pwn(極棒)2015嘉年華中�����,白帽黑客們就現(xiàn)場演示了這一幕幕“電影中的場景”����,其中一支代表隊現(xiàn)場就攻破了7只主流品牌攝像頭���,完全控制攝像頭的運動和拍攝。
在這場倍受人們關(guān)注的“黑客奧運會”上����,移動支付��、O2O��、智能家居等領(lǐng)域的安全問題成為今年的熱點�����,超過40款主流智能軟硬件被安全極客們攻破���,包括華為��、小米�����、京東��、海爾等品牌都成為攻破對象����。
不接觸銀行卡也能轉(zhuǎn)走余額
如今許多消費者出門不帶現(xiàn)金,習(xí)慣刷卡��。在現(xiàn)場��,一位選手演示了對大型POS機品牌盒子支付的攻破�����。他首先用一張他人的銀行卡完成一次刷卡交易��,再用一張自己的銀行卡刷卡消費�。在此后的24小時之內(nèi),他就可以用自己的卡無限次消費他人銀行卡上的余額了�。
還有一位比賽選手,在自始至終不接觸銀行卡本身的狀態(tài)下����,將卡上的余額轉(zhuǎn)出。他首先通過手機綁定第一大POS機品牌拉卡拉收款寶����,通過手機劫持交易信息,獲得了余額信息。然后再輸入任意密碼�,就將余額全部轉(zhuǎn)走。整個過程選手本身并未直接接觸該銀行卡�,更沒有獲得該卡密碼。
充值1分錢O2O軟件就可“隨便用”
站在互聯(lián)網(wǎng)+的風(fēng)口�,各類O2O服務(wù)已經(jīng)成為日常生活的一部分,一旦應(yīng)用存在安全風(fēng)險�����,不僅對用戶個人生活造成威脅��,也威脅著平臺商的數(shù)據(jù)和資金安全��。
一位比賽選手在現(xiàn)場成功演示了利用未知漏洞攻破“嘟嘟美甲”這一O2O的軟件系統(tǒng)����。選手通過支付寶為“嘟嘟美甲”官方APP上一賬號充值���,僅需實際支付1分錢�,就向這一賬號內(nèi)充值任意金額�����。此外,e家潔�����、功夫熊�����、阿姨幫�����、微票兒等O2O服務(wù)平臺都被證明有類似漏洞�。有觀眾當場大呼“這也太不安全了”。
有趣的是�,當選手試圖當場演示“e家潔”這一APP的漏洞時,發(fā)現(xiàn)官方關(guān)閉了云服務(wù)��。此前�����,大賽組委會通知了該公司當天的賽事安排���。最后�����,不得已換為“阿姨幫”�����,也順利完成攻破�。
對此,支付寶方面立刻給出回應(yīng)稱�����,“經(jīng)我們的技術(shù)人員排查�����,原因是商家APP發(fā)送付款單據(jù)給支付寶應(yīng)用時����,在商戶APP內(nèi)部被中間人劫持并篡改所致�,跟支付接口無關(guān),并稱支付寶已第一時間聯(lián)系該APP����,并愿意為其緊急修復(fù)提供幫助���������!
華為�、小米現(xiàn)場收到漏洞報告
在現(xiàn)場,選手還同時對華為榮耀4A手機�、小米手機4C進行獲取系統(tǒng)root權(quán)限的操作,改變了兩部手機的開機動畫���。評委說�,這代表選手已經(jīng)攻破了兩部手機的最高root權(quán)限���。
據(jù)了解�,華為���、小米廠商的安全負責(zé)代表也提前接到大賽邀請�����,見證了當天的攻破行動����。挑戰(zhàn)賽結(jié)束后,他們第一時間接到了大賽組委會提交的漏洞報告����,并立刻做出響應(yīng)、及時修補���。對此�����,他們并沒有回避����,并且指出:“問題被發(fā)現(xiàn)和解決得越早���,產(chǎn)品越安全���!蔽/本報見習(xí)記者 溫婧
