多款O2O软件曝出支付漏洞 不接触银行卡也能转款

来源:百度文库 编辑:超级军网 时间:2020/06/04 23:12:40
控制所有的摄像头,或开或关,或拍摄本不该有的画面……你以为这种黑技术只有《碟中谍》这类好莱坞大片中才有。然而在昨天举办的上海Geek Pwn(极棒)2015嘉年华中,白帽黑客们就现场演示了这一幕幕“电影中的场景”,其中一支代表队现场就攻破了7只主流品牌摄像头,完全控制摄像头的运动和拍摄。

  在这场倍受人们关注的“黑客奥运会”上,移动支付、O2O、智能家居等领域的安全问题成为今年的热点,超过40款主流智能软硬件被安全极客们攻破,包括华为、小米、京东、海尔等品牌都成为攻破对象。

  不接触银行卡也能转走余额

  如今许多消费者出门不带现金,习惯刷卡。在现场,一位选手演示了对大型POS机品牌盒子支付的攻破。他首先用一张他人的银行卡完成一次刷卡交易,再用一张自己的银行卡刷卡消费。在此后的24小时之内,他就可以用自己的卡无限次消费他人银行卡上的余额了。

  还有一位比赛选手,在自始至终不接触银行卡本身的状态下,将卡上的余额转出。他首先通过手机绑定第一大POS机品牌拉卡拉收款宝,通过手机劫持交易信息,获得了余额信息。然后再输入任意密码,就将余额全部转走。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。

  充值1分钱O2O软件就可“随便用”

  站在互联网+的风口,各类O2O服务已经成为日常生活的一部分,一旦应用存在安全风险,不仅对用户个人生活造成威胁,也威胁着平台商的数据和资金安全。

  一位比赛选手在现场成功演示了利用未知漏洞攻破“嘟嘟美甲”这一O2O的软件系统。选手通过支付宝为“嘟嘟美甲”官方APP上一账号充值,仅需实际支付1分钱,就向这一账号内充值任意金额。此外,e家洁、功夫熊、阿姨帮、微票儿等O2O服务平台都被证明有类似漏洞。有观众当场大呼“这也太不安全了”。

  有趣的是,当选手试图当场演示“e家洁”这一APP的漏洞时,发现官方关闭了云服务。此前,大赛组委会通知了该公司当天的赛事安排。最后,不得已换为“阿姨帮”,也顺利完成攻破。

  对此,支付宝方面立刻给出回应称,“经我们的技术人员排查,原因是商家APP发送付款单据给支付宝应用时,在商户APP内部被中间人劫持并篡改所致,跟支付接口无关,并称支付宝已第一时间联系该APP,并愿意为其紧急修复提供帮助。”

  华为、小米现场收到漏洞报告

  在现场,选手还同时对华为荣耀4A手机、小米手机4C进行获取系统root权限的操作,改变了两部手机的开机动画。评委说,这代表选手已经攻破了两部手机的最高root权限。

  据了解,华为、小米厂商的安全负责代表也提前接到大赛邀请,见证了当天的攻破行动。挑战赛结束后,他们第一时间接到了大赛组委会提交的漏洞报告,并立刻做出响应、及时修补。对此,他们并没有回避,并且指出:“问题被发现和解决得越早,产品越安全。”文/本报见习记者 温婧

http://tech.hexun.com/2015-10-25/180078765.html控制所有的摄像头,或开或关,或拍摄本不该有的画面……你以为这种黑技术只有《碟中谍》这类好莱坞大片中才有。然而在昨天举办的上海Geek Pwn(极棒)2015嘉年华中,白帽黑客们就现场演示了这一幕幕“电影中的场景”,其中一支代表队现场就攻破了7只主流品牌摄像头,完全控制摄像头的运动和拍摄。

  在这场倍受人们关注的“黑客奥运会”上,移动支付、O2O、智能家居等领域的安全问题成为今年的热点,超过40款主流智能软硬件被安全极客们攻破,包括华为、小米、京东、海尔等品牌都成为攻破对象。

  不接触银行卡也能转走余额

  如今许多消费者出门不带现金,习惯刷卡。在现场,一位选手演示了对大型POS机品牌盒子支付的攻破。他首先用一张他人的银行卡完成一次刷卡交易,再用一张自己的银行卡刷卡消费。在此后的24小时之内,他就可以用自己的卡无限次消费他人银行卡上的余额了。

  还有一位比赛选手,在自始至终不接触银行卡本身的状态下,将卡上的余额转出。他首先通过手机绑定第一大POS机品牌拉卡拉收款宝,通过手机劫持交易信息,获得了余额信息。然后再输入任意密码,就将余额全部转走。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。

  充值1分钱O2O软件就可“随便用”

  站在互联网+的风口,各类O2O服务已经成为日常生活的一部分,一旦应用存在安全风险,不仅对用户个人生活造成威胁,也威胁着平台商的数据和资金安全。

  一位比赛选手在现场成功演示了利用未知漏洞攻破“嘟嘟美甲”这一O2O的软件系统。选手通过支付宝为“嘟嘟美甲”官方APP上一账号充值,仅需实际支付1分钱,就向这一账号内充值任意金额。此外,e家洁、功夫熊、阿姨帮、微票儿等O2O服务平台都被证明有类似漏洞。有观众当场大呼“这也太不安全了”。

  有趣的是,当选手试图当场演示“e家洁”这一APP的漏洞时,发现官方关闭了云服务。此前,大赛组委会通知了该公司当天的赛事安排。最后,不得已换为“阿姨帮”,也顺利完成攻破。

  对此,支付宝方面立刻给出回应称,“经我们的技术人员排查,原因是商家APP发送付款单据给支付宝应用时,在商户APP内部被中间人劫持并篡改所致,跟支付接口无关,并称支付宝已第一时间联系该APP,并愿意为其紧急修复提供帮助。”

  华为、小米现场收到漏洞报告

  在现场,选手还同时对华为荣耀4A手机、小米手机4C进行获取系统root权限的操作,改变了两部手机的开机动画。评委说,这代表选手已经攻破了两部手机的最高root权限。

  据了解,华为、小米厂商的安全负责代表也提前接到大赛邀请,见证了当天的攻破行动。挑战赛结束后,他们第一时间接到了大赛组委会提交的漏洞报告,并立刻做出响应、及时修补。对此,他们并没有回避,并且指出:“问题被发现和解决得越早,产品越安全。”文/本报见习记者 温婧

http://tech.hexun.com/2015-10-25/180078765.html
还好,我从不在这些O2O账号存钱
zp0320 发表于 2015-10-28 22:29
还好,我从不在这些O2O账号存钱
支付宝和微信也不存?
root手机就没啥奇怪的了
支付宝和微信也不存?
从来都不存,我压根就不相信这些一味强调方便快捷的互联网支付方式,毕竟安全和方便快捷是有冲突的。
风君子 发表于 2015-10-28 22:33
支付宝和微信也不存?
您说的太对了,一直对这些东西很不放心。
很多人都有两台手机的吧?把一台手机换成非智能机,只是用来收验证码短信。
装软件就装在另外一台智能手机上。除非你两天一起丢,还被同一个人拿到,否则被人黑的机率可以忽略
从来都不存,我压根就不相信这些一味强调方便快捷的互联网支付方式,毕竟安全和方便快捷是有冲突的。

看来你钱多遭贼惦记,还是千万祈祷超大别实行实名制,不然
很多人都有两台手机的吧?把一台手机换成非智能机,只是用来收验证码短信。
装软件就装在另 ...
让他偷,还能发出短信证明黑客技术不到家,偷不了多少。你还准备一部手机运营商可高兴坏了。一个月准备被运营商坑多少钱?
m_sy 发表于 2015-10-29 12:38
让他偷,还能发出短信证明黑客技术不到家,偷不了多少。你还准备一部手机运营商可高兴坏了。一个月准备被 ...

两个手机很奇怪么……本来很多人就是单位业务一个手机,私人一个手机。
功能机很贵么?1百多一台,待机比智能机好多了。
看来你钱多遭贼惦记,还是千万祈祷超大别实行实名制,不然
正因为钱少所以才更注重安全
正因为钱少所以才更注重安全
免费办个钱更少的卡够买一两次的就行了
两个手机很奇怪么……本来很多人就是单位业务一个手机,私人一个手机。
功能机很贵么?1百多一台,待 ...
那么你是准备业务手机装私人软件呢还是当功能机?
m_sy 发表于 2015-10-29 12:52
那么你是准备业务手机装私人软件呢还是当功能机?
智能机的问题是自己能装软件,也可能给黑客装软件,甚至平时上网也有机会感染病毒。
功能机就是指不能装软件的手机,普通连WIFI都没有,功能只是打电话,收发短信。很多做业务的,机子就是打电话收短信而已,有啥冲突?

现在的支付基本都是发短信验证码的,装软件的机子不收验证码,收验证码的机子不装软件。就算你的智能机给人黑了,也没辙。
智能机的问题是自己能装软件,也可能给黑客装软件,甚至平时上网也有机会感染病毒。
功能机就是指不能装 ...
但是没有几个单位要求自己员工要配备业务性的功能机。
但是没有几个单位要求自己员工要配备业务性的功能机。
为啥要单位要求?自己买一个不行吗?一个机子一个月才多少费用……,一个电话号码给同事,另一个电话号码只给熟人,两不干扰,方便得很。
m_sy 发表于 2015-10-29 12:38
让他偷,还能发出短信证明黑客技术不到家,偷不了多少。你还准备一部手机运营商可高兴坏了。一个月准备被 ...
我也是一个智能机,一个功能机,功能机的sim卡是预存话费免月租费来电显示费的,只要不接听电话什么费用也不会产生
我也是一个智能机,一个功能机,功能机的sim卡是预存话费免月租费来电显示费的,只要不接听电话什么费用 ...
等我被黑客黑了之后我再考虑,不然没必要这么麻烦。
如果怕支付宝不安全的话,其实去银行取钱也有丢失被盗甚至拿到假钞的风险。。。其实像支付宝这样的平台已经很安全了,这是时代带给社会的便利,我有什么理由不用?
如果怕支付宝不安全的话,其实去银行取钱也有丢失被盗甚至拿到假钞的风险。。。其实像支付宝这样的平台已经 ...

+1!这是历史潮流,不敢用网络支付的人,就好比以前有些老年人宁愿把钱埋到地下,也不愿意存银行一样。