新闻源 财富源

2024年12月16日 星期一

财经 > 银行 > 银行要闻 > 正文

字号:  

多款O2O软件曝出支付漏洞 不接触银行卡也能转款

  • 发布时间:2015-10-25 06:23:41  来源:北京青年报  作者:佚名  责任编辑:郭伟莹

  控制所有的摄像头,或开或关,或拍摄本不该有的画面……你以为这种黑技术只有《碟中谍》这类好莱坞大片中才有。然而在昨天举办的上海Geek Pwn(极棒)2015嘉年华中,白帽黑客们就现场演示了这一幕幕“电影中的场景”,其中一支代表队现场就攻破了7只主流品牌摄像头,完全控制摄像头的运动和拍摄。

  在这场倍受人们关注的“黑客奥运会”上,移动支付O2O智能家居等领域的安全问题成为今年的热点,超过40款主流智能软硬件被安全极客们攻破,包括华为、小米、京东、海尔等品牌都成为攻破对象。

  不接触银行卡也能转走余额

  如今许多消费者出门不带现金,习惯刷卡。在现场,一位选手演示了对大型POS机品牌盒子支付的攻破。他首先用一张他人的银行卡完成一次刷卡交易,再用一张自己的银行卡刷卡消费。在此后的24小时之内,他就可以用自己的卡无限次消费他人银行卡上的余额了。

  还有一位比赛选手,在自始至终不接触银行卡本身的状态下,将卡上的余额转出。他首先通过手机绑定第一大POS机品牌拉卡拉收款宝,通过手机劫持交易信息,获得了余额信息。然后再输入任意密码,就将余额全部转走。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。

  充值1分钱O2O软件就可“随便用”

  站在互联网+的风口,各类O2O服务已经成为日常生活的一部分,一旦应用存在安全风险,不仅对用户个人生活造成威胁,也威胁着平台商的数据和资金安全。

  一位比赛选手在现场成功演示了利用未知漏洞攻破“嘟嘟美甲”这一O2O的软件系统。选手通过支付宝为“嘟嘟美甲”官方APP上一账号充值,仅需实际支付1分钱,就向这一账号内充值任意金额。此外,e家洁、功夫熊、阿姨帮、微票儿等O2O服务平台都被证明有类似漏洞。有观众当场大呼“这也太不安全了”。

  有趣的是,当选手试图当场演示“e家洁”这一APP的漏洞时,发现官方关闭了云服务。此前,大赛组委会通知了该公司当天的赛事安排。最后,不得已换为“阿姨帮”,也顺利完成攻破。

  对此,支付宝方面立刻给出回应称,“经我们的技术人员排查,原因是商家APP发送付款单据给支付宝应用时,在商户APP内部被中间人劫持并篡改所致,跟支付接口无关,并称支付宝已第一时间联系该APP,并愿意为其紧急修复提供帮助。”

  华为、小米现场收到漏洞报告

  在现场,选手还同时对华为荣耀4A手机、小米手机4C进行获取系统root权限的操作,改变了两部手机的开机动画。评委说,这代表选手已经攻破了两部手机的最高root权限。

  据了解,华为、小米厂商的安全负责代表也提前接到大赛邀请,见证了当天的攻破行动。挑战赛结束后,他们第一时间接到了大赛组委会提交的漏洞报告,并立刻做出响应、及时修补。对此,他们并没有回避,并且指出:“问题被发现和解决得越早,产品越安全。”文/本报见习记者温婧

O2O 详细

涨幅榜 更多

排名 股票名称 最新价 涨跌幅
1 华联股份 3.51 10.03%
2 越秀金控 10.83 6.38%
3 石基信息 28.20 5.11%
4 天虹股份 20.40 4.35%
5 三全食品 7.99 4.17%

跌幅榜 更多

排名 股票名称 最新价 涨跌幅
1 富安娜 10.35 -7.51%
2 步森股份 21.30 -4.44%
3 搜于特 4.82 -3.02%
4 罗莱生活 14.63 -2.79%
5 洋河股份 105.00 -2.77%

热图一览

  • 股票名称 最新价 涨跌幅