多款O2O軟件曝出支付漏洞 不接觸銀行卡也能轉(zhuǎn)款
更新時(shí)間:2015-10-26 8:42:28 來(lái)源:北京青年報(bào)
 |
| 您現(xiàn)在的位置: 焦作網(wǎng) > 新聞推薦 > 副頭條 > 正文 |
 |
新媒體 | |||||||||||
|
||||||||||||
新聞推薦
控制所有的攝像頭,或開(kāi)或關(guān),,或拍攝本不該有的畫(huà)面……你以為這種黑技術(shù)只有《碟中諜》這類好萊塢大片中才有,。然而在昨天舉辦的上海Geek Pwn(極棒)2015嘉年華中,白帽黑客們就現(xiàn)場(chǎng)演示了這一幕幕“電影中的場(chǎng)景”,,其中一支代表隊(duì)現(xiàn)場(chǎng)就攻破了7只主流品牌攝像頭,,完全控制攝像頭的運(yùn)動(dòng)和拍攝。
在這場(chǎng)倍受人們關(guān)注的“黑客奧運(yùn)會(huì)”上,,移動(dòng)支付,、O2O、智能家居等領(lǐng)域的安全問(wèn)題成為今年的熱點(diǎn),超過(guò)40款主流智能軟硬件被安全極客們攻破,,包括華為,、小米、京東,、海爾等品牌都成為攻破對(duì)象,。
不接觸銀行卡也能轉(zhuǎn)走余額
如今許多消費(fèi)者出門不帶現(xiàn)金,習(xí)慣刷卡,。在現(xiàn)場(chǎng),,一位選手演示了對(duì)大型POS機(jī)品牌盒子支付的攻破。他首先用一張他人的銀行卡完成一次刷卡交易,,再用一張自己的銀行卡刷卡消費(fèi),。在此后的24小時(shí)之內(nèi),他就可以用自己的卡無(wú)限次消費(fèi)他人銀行卡上的余額了,。
還有一位比賽選手,,在自始至終不接觸銀行卡本身的狀態(tài)下,將卡上的余額轉(zhuǎn)出,。他首先通過(guò)手機(jī)綁定第一大POS機(jī)品牌拉卡拉收款寶,,通過(guò)手機(jī)劫持交易信息,獲得了余額信息,。然后再輸入任意密碼,,就將余額全部轉(zhuǎn)走。整個(gè)過(guò)程選手本身并未直接接觸該銀行卡,,更沒(méi)有獲得該卡密碼,。
充值1分錢O2O軟件就可“隨便用”
站在互聯(lián)網(wǎng)+的風(fēng)口,各類O2O服務(wù)已經(jīng)成為日常生活的一部分,,一旦應(yīng)用存在安全風(fēng)險(xiǎn),,不僅對(duì)用戶個(gè)人生活造成威脅,也威脅著平臺(tái)商的數(shù)據(jù)和資金安全,。
一位比賽選手在現(xiàn)場(chǎng)成功演示了利用未知漏洞攻破“嘟嘟美甲”這一O2O的軟件系統(tǒng),。選手通過(guò)支付寶為“嘟嘟美甲”官方APP上一賬號(hào)充值,僅需實(shí)際支付1分錢,,就向這一賬號(hào)內(nèi)充值任意金額。此外,,e家潔,、功夫熊、阿姨幫,、微票兒等O2O服務(wù)平臺(tái)都被證明有類似漏洞,。有觀眾當(dāng)場(chǎng)大呼“這也太不安全了”。
有趣的是,當(dāng)選手試圖當(dāng)場(chǎng)演示“e家潔”這一APP的漏洞時(shí),,發(fā)現(xiàn)官方關(guān)閉了云服務(wù),。此前,大賽組委會(huì)通知了該公司當(dāng)天的賽事安排,。最后,,不得已換為“阿姨幫”,也順利完成攻破,。
對(duì)此,,支付寶方面立刻給出回應(yīng)稱,“經(jīng)我們的技術(shù)人員排查,,原因是商家APP發(fā)送付款單據(jù)給支付寶應(yīng)用時(shí),,在商戶APP內(nèi)部被中間人劫持并篡改所致,跟支付接口無(wú)關(guān),,并稱支付寶已第一時(shí)間聯(lián)系該APP,,并愿意為其緊急修復(fù)提供幫助�,!�
華為,、小米現(xiàn)場(chǎng)收到漏洞報(bào)告
在現(xiàn)場(chǎng),選手還同時(shí)對(duì)華為榮耀4A手機(jī),、小米手機(jī)4C進(jìn)行獲取系統(tǒng)root權(quán)限的操作,,改變了兩部手機(jī)的開(kāi)機(jī)動(dòng)畫(huà)。評(píng)委說(shuō),,這代表選手已經(jīng)攻破了兩部手機(jī)的最高root權(quán)限。
據(jù)了解,,華為,、小米廠商的安全負(fù)責(zé)代表也提前接到大賽邀請(qǐng),見(jiàn)證了當(dāng)天的攻破行動(dòng),。挑戰(zhàn)賽結(jié)束后,,他們第一時(shí)間接到了大賽組委會(huì)提交的漏洞報(bào)告,并立刻做出響應(yīng),、及時(shí)修補(bǔ),。對(duì)此,他們并沒(méi)有回避,,并且指出:“問(wèn)題被發(fā)現(xiàn)和解決得越早,,產(chǎn)品越安全�,!蔽�/本報(bào)見(jiàn)習(xí)記者 溫婧
 |
 |
|
||||
|
焦作網(wǎng)免責(zé)聲明: | |||||||
|
||||||||
控制所有的攝像頭,,或開(kāi)或關(guān),,或拍攝本不該有的畫(huà)面……你以為這種黑技術(shù)只有《碟中諜》這類好萊塢大片中才有。然而在昨天舉辦的上海Geek Pwn(極棒)2015嘉年華中,,白帽黑客們就現(xiàn)場(chǎng)演示了這一幕幕“電影中的場(chǎng)景”,,其中一支代表隊(duì)現(xiàn)場(chǎng)就攻破了7只主流品牌攝像頭,完全控制攝像頭的運(yùn)動(dòng)和拍攝,。
在這場(chǎng)倍受人們關(guān)注的“黑客奧運(yùn)會(huì)”上,,移動(dòng)支付、O2O,、智能家居等領(lǐng)域的安全問(wèn)題成為今年的熱點(diǎn),,超過(guò)40款主流智能軟硬件被安全極客們攻破,包括華為,、小米,、京東、海爾等品牌都成為攻破對(duì)象,。
不接觸銀行卡也能轉(zhuǎn)走余額
如今許多消費(fèi)者出門不帶現(xiàn)金,,習(xí)慣刷卡。在現(xiàn)場(chǎng),,一位選手演示了對(duì)大型POS機(jī)品牌盒子支付的攻破,。他首先用一張他人的銀行卡完成一次刷卡交易,再用一張自己的銀行卡刷卡消費(fèi),。在此后的24小時(shí)之內(nèi),,他就可以用自己的卡無(wú)限次消費(fèi)他人銀行卡上的余額了。
還有一位比賽選手,,在自始至終不接觸銀行卡本身的狀態(tài)下,,將卡上的余額轉(zhuǎn)出。他首先通過(guò)手機(jī)綁定第一大POS機(jī)品牌拉卡拉收款寶,,通過(guò)手機(jī)劫持交易信息,,獲得了余額信息。然后再輸入任意密碼,,就將余額全部轉(zhuǎn)走。整個(gè)過(guò)程選手本身并未直接接觸該銀行卡,,更沒(méi)有獲得該卡密碼,。
充值1分錢O2O軟件就可“隨便用”
站在互聯(lián)網(wǎng)+的風(fēng)口,各類O2O服務(wù)已經(jīng)成為日常生活的一部分,,一旦應(yīng)用存在安全風(fēng)險(xiǎn),,不僅對(duì)用戶個(gè)人生活造成威脅,也威脅著平臺(tái)商的數(shù)據(jù)和資金安全,。
一位比賽選手在現(xiàn)場(chǎng)成功演示了利用未知漏洞攻破“嘟嘟美甲”這一O2O的軟件系統(tǒng),。選手通過(guò)支付寶為“嘟嘟美甲”官方APP上一賬號(hào)充值,,僅需實(shí)際支付1分錢,就向這一賬號(hào)內(nèi)充值任意金額,。此外,,e家潔、功夫熊,、阿姨幫,、微票兒等O2O服務(wù)平臺(tái)都被證明有類似漏洞。有觀眾當(dāng)場(chǎng)大呼“這也太不安全了”,。
有趣的是,,當(dāng)選手試圖當(dāng)場(chǎng)演示“e家潔”這一APP的漏洞時(shí),發(fā)現(xiàn)官方關(guān)閉了云服務(wù),。此前,,大賽組委會(huì)通知了該公司當(dāng)天的賽事安排。最后,,不得已換為“阿姨幫”,,也順利完成攻破。
對(duì)此,,支付寶方面立刻給出回應(yīng)稱,,“經(jīng)我們的技術(shù)人員排查,原因是商家APP發(fā)送付款單據(jù)給支付寶應(yīng)用時(shí),,在商戶APP內(nèi)部被中間人劫持并篡改所致,,跟支付接口無(wú)關(guān),并稱支付寶已第一時(shí)間聯(lián)系該APP,,并愿意為其緊急修復(fù)提供幫助,。”
華為,、小米現(xiàn)場(chǎng)收到漏洞報(bào)告
在現(xiàn)場(chǎng),,選手還同時(shí)對(duì)華為榮耀4A手機(jī)、小米手機(jī)4C進(jìn)行獲取系統(tǒng)root權(quán)限的操作,,改變了兩部手機(jī)的開(kāi)機(jī)動(dòng)畫(huà),。評(píng)委說(shuō),這代表選手已經(jīng)攻破了兩部手機(jī)的最高root權(quán)限,。
據(jù)了解,,華為、小米廠商的安全負(fù)責(zé)代表也提前接到大賽邀請(qǐng),,見(jiàn)證了當(dāng)天的攻破行動(dòng),。挑戰(zhàn)賽結(jié)束后,他們第一時(shí)間接到了大賽組委會(huì)提交的漏洞報(bào)告,,并立刻做出響應(yīng),、及時(shí)修補(bǔ),。對(duì)此,他們并沒(méi)有回避,,并且指出:“問(wèn)題被發(fā)現(xiàn)和解決得越早,,產(chǎn)品越安全�,!蔽�/本報(bào)見(jiàn)習(xí)記者 溫婧
 |
|
||||
|
焦作網(wǎng)免責(zé)聲明: | |||||||
|
||||||||
|
 掃一掃在手機(jī)打開(kāi)當(dāng)前頁(yè) |
