多款O2O软件曝支付漏洞 不接触银行卡也能转款
控制所有的摄像头,或开或关,或拍摄本不该有的画面……你以为这种黑技术只有《碟中谍》这类好莱坞大片中才有。然而在昨天举办的上海Geek Pwn(极棒)2015嘉年华中,白帽黑客们就现场演示了这一幕幕“电影中的场景”,其中一支代表队现场就攻破了7只主流品牌摄像头,完全控制摄像头的运动和拍摄。
在这场倍受人们关注的“黑客奥运会”上,移动支付、O2O、智能家居等领域的安全问题成为今年的热点,超过40款主流智能软硬件被安全极客们攻破,包括华为、小米、京东、海尔等品牌都成为攻破对象。
不接触银行卡也能转走余额
如今许多消费者出门不带现金,习惯刷卡。在现场,一位选手演示了对大型POS机品牌盒子支付的攻破。他首先用一张他人的银行卡完成一次刷卡交易,再用一张自己的银行卡刷卡消费。在此后的24小时之内,他就可以用自己的卡无限次消费他人银行卡上的余额了。
还有一位比赛选手,在自始至终不接触银行卡本身的状态下,将卡上的余额转出。他首先通过手机绑定第一大POS机品牌拉卡拉收款宝,通过手机劫持交易信息,获得了余额信息。然后再输入任意密码,就将余额全部转走。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。
充值1分钱O2O软件就可“随便用”
站在互联网+的风口,各类O2O服务已经成为日常生活的一部分,一旦应用存在安全风险,不仅对用户个人生活造成威胁,也威胁着平台商的数据和资金安全。
一位比赛选手在现场成功演示了利用未知漏洞攻破“嘟嘟美甲”这一O2O的软件系统。选手通过支付宝为“嘟嘟美甲”官方APP上一账号充值,仅需实际支付1分钱,就向这一账号内充值任意金额。此外,e家洁、功夫熊、阿姨帮、微票儿等O2O服务平台都被证明有类似漏洞。有观众当场大呼“这也太不安全了”。
有趣的是,当选手试图当场演示“e家洁”这一APP的漏洞时,发现官方关闭了云服务。此前,大赛组委会通知了该公司当天的赛事安排。最后,不得已换为“阿姨帮”,也顺利完成攻破。
对此,支付宝方面立刻给出回应称,“经我们的技术人员排查,原因是商家APP发送付款单据给支付宝应用时,在商户APP内部被中间人劫持并篡改所致,跟支付接口无关,并称支付宝已第一时间联系该APP,并愿意为其紧急修复提供帮助。”
华为、小米现场收到漏洞报告
在现场,选手还同时对华为荣耀4A手机、小米手机4C进行获取系统root权限的操作,改变了两部手机的开机动画。评委说,这代表选手已经攻破了两部手机的最高root权限。
据了解,华为、小米厂商的安全负责代表也提前接到大赛邀请,见证了当天的攻破行动。挑战赛结束后,他们第一时间接到了大赛组委会提交的漏洞报告,并立刻做出响应、及时修补。对此,他们并没有回避,并且指出:“问题被发现和解决得越早,产品越安全。”