新聞源 財富源

2024年11月27日 星期三

財經 > 銀行 > 銀行要聞 > 正文

字號:  

多款O2O軟體曝出支付漏洞 不接觸銀行卡也能轉款

  • 發佈時間:2015-10-25 06:23:41  來源:北京青年報  作者:佚名  責任編輯:郭偉瑩

  控制所有的攝像頭,或開或關,或拍攝本不該有的畫面……你以為這種黑技術只有《碟中諜》這類好萊塢大片中才有。然而在昨天舉辦的上海Geek Pwn(極棒)2015嘉年華中,白帽駭客們就現場演示了這一幕幕“電影中的場景”,其中一支代表隊現場就攻破了7隻主流品牌攝像頭,完全控制攝像頭的運動和拍攝。

  在這場倍受人們關注的“駭客奧運會”上,移動支付O2O智慧家居等領域的安全問題成為今年的熱點,超過40款主流智慧軟硬體被安全極客們攻破,包括華為、小米、京東、海爾等品牌都成為攻破對象。

  不接觸銀行卡也能轉走餘額

  如今許多消費者出門不帶現金,習慣刷卡。在現場,一位選手演示了對大型POS機品牌盒子支付的攻破。他首先用一張他人的銀行卡完成一次刷卡交易,再用一張自己的銀行卡刷卡消費。在此後的24小時之內,他就可以用自己的卡無限次消費他人銀行卡上的餘額了。

  還有一位比賽選手,在自始至終不接觸銀行卡本身的狀態下,將卡上的餘額轉出。他首先通過手機綁定第一大POS機品牌拉卡拉收款寶,通過手機劫持交易資訊,獲得了餘額資訊。然後再輸入任意密碼,就將餘額全部轉走。整個過程選手本身並未直接接觸該銀行卡,更沒有獲得該卡密碼。

  充值1分錢O2O軟體就可“隨便用”

  站在網際網路+的風口,各類O2O服務已經成為日常生活的一部分,一旦應用存在安全風險,不僅對用戶個人生活造成威脅,也威脅著平臺商的數據和資金安全。

  一位比賽選手在現場成功演示了利用未知漏洞攻破“嘟嘟美甲”這一O2O的軟體系統。選手通過支付寶為“嘟嘟美甲”官方APP上一賬號充值,僅需實際支付1分錢,就向這一賬號內充值任意金額。此外,e家潔、功夫熊、阿姨幫、微票兒等O2O服務平臺都被證明有類似漏洞。有觀眾當場大呼“這也太不安全了”。

  有趣的是,當選手試圖當場演示“e家潔”這一APP的漏洞時,發現官方關閉了雲服務。此前,大賽組委會通知了該公司當天的賽事安排。最後,不得已換為“阿姨幫”,也順利完成攻破。

  對此,支付寶方面立刻給出回應稱,“經我們的技術人員排查,原因是商家APP發送付款單據給支付寶應用時,在商戶APP內部被中間人劫持並篡改所致,跟支付介面無關,並稱支付寶已第一時間聯繫該APP,並願意為其緊急修復提供幫助。”

  華為、小米現場收到漏洞報告

  在現場,選手還同時對華為榮耀4A手機、小米手機4C進行獲取系統root許可權的操作,改變了兩部手機的開機動畫。評委説,這代表選手已經攻破了兩部手機的最高root許可權。

  據了解,華為、小米廠商的安全負責代表也提前接到大賽邀請,見證了當天的攻破行動。挑戰賽結束後,他們第一時間接到了大賽組委會提交的漏洞報告,並立刻做出響應、及時修補。對此,他們並沒有回避,並且指出:“問題被發現和解決得越早,産品越安全。”文/本報見習記者溫婧

O2O 詳細

漲幅榜 更多

排名 股票名稱 最新價 漲跌幅
1 華聯股份 3.51 10.03%
2 越秀金控 10.83 6.38%
3 石基資訊 28.20 5.11%
4 天虹股份 20.40 4.35%
5 三全食品 7.99 4.17%

跌幅榜 更多

排名 股票名稱 最新價 漲跌幅
1 富安娜 10.35 -7.51%
2 步森股份 21.30 -4.44%
3 搜于特 4.82 -3.02%
4 羅萊生活 14.63 -2.79%
5 洋河股份 105.00 -2.77%

熱圖一覽

  • 股票名稱 最新價 漲跌幅