原標題:多款O2O軟件曝出支付漏洞 不接觸銀行卡也能轉款
控制所有的攝像頭,或開或關�,或拍攝本不該有的畫面……你以為這種黑技術只有《碟中諜》這類好萊塢大片中才有�。然而在昨天舉辦的上海Geek Pwn(極棒)2015嘉年華中,白帽黑客們就現場演示了這一幕幕“電影中的場景”����,其中一支代表隊現場就攻破了7只主流品牌攝像頭�,完全控制攝像頭的運動和拍攝��。
在這場倍受人們關注的“黑客奧運會”上����,移動支付����、O2O、智能家居等領域的安全問題成為今年的熱點��,超過40款主流智能軟硬件被安全極客們攻破����,包括華為、小米、京東、海爾等品牌都成為攻破對象。
不接觸銀行卡也能轉走余額
如今許多消費者出門不帶現金��,習慣刷卡����。在現場,一位選手演示了對大型POS機品牌盒子支付的攻破。他首先用一張他人的銀行卡完成一次刷卡交易,再用一張自己的銀行卡刷卡消費��。在此后的24小時之內�,他就可以用自己的卡無限次消費他人銀行卡上的余額了。
還有一位比賽選手�,在自始至終不接觸銀行卡本身的狀態下��,將卡上的余額轉出��。他首先通過手機綁定第一大POS機品牌拉卡拉收款寶,通過手機劫持交易信息,獲得了余額信息�。然后再輸入任意密碼����,就將余額全部轉走����。整個過程選手本身并未直接接觸該銀行卡����,更沒有獲得該卡密碼。
充值1分錢O2O軟件就可“隨便用”
站在互聯網+的風口��,各類O2O服務已經成為日常生活的一部分�,一旦應用存在安全風險,不僅對用戶個人生活造成威脅�,也威脅著平臺商的數據和資金安全��。
一位比賽選手在現場成功演示了利用未知漏洞攻破“嘟嘟美甲”這一O2O的軟件系統。選手通過支付寶為“嘟嘟美甲”官方APP上一賬號充值����,僅需實際支付1分錢��,就向這一賬號內充值任意金額。此外����,e家潔�、功夫熊����、阿姨幫、微票兒等O2O服務平臺都被證明有類似漏洞����。有觀眾當場大呼“這也太不安全了”�。
有趣的是�,當選手試圖當場演示“e家潔”這一APP的漏洞時,發現官方關閉了云服務����。此前,大賽組委會通知了該公司當天的賽事安排����。最后����,不得已換為“阿姨幫”����,也順利完成攻破。
對此����,支付寶方面立刻給出回應稱����,“經我們的技術人員排查����,原因是商家APP發送付款單據給支付寶應用時,在商戶APP內部被中間人劫持并篡改所致����,跟支付接口無關�,并稱支付寶已第一時間聯系該APP����,并愿意為其緊急修復提供幫助�����!�
華為��、小米現場收到漏洞報告
在現場,選手還同時對華為榮耀4A手機、小米手機4C進行獲取系統root權限的操作����,改變了兩部手機的開機動畫��。評委說,這代表選手已經攻破了兩部手機的最高root權限。
據了解����,華為��、小米廠商的安全負責代表也提前接到大賽邀請,見證了當天的攻破行動����。挑戰賽結束后�,他們第一時間接到了大賽組委會提交的漏洞報告��,并立刻做出響應�、及時修補��。對此����,他們并沒有回避��,并且指出:“問題被發現和解決得越早����,產品越安全�������!蔽�/本報見習記者 溫婧
