python html5 bootstrap 视频教程

德云社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

带盖棕色半透明口服液圆形小玻璃瓶
折叠白色、黄色瓦楞纸箱
黑色塑料瓶盖化妆品透明玻璃瓶
黄色纸盒
矩形化妆品透明小玻璃瓶
红色液态生料带瓶
蓝色标签塑料软管
辉瑞伟哥包装小纸盒
查看: 3730|回复: 0

2015年多款O2O软件 移动支付曝支付漏洞 不接触银行卡可转款

[复制链接]

890

主题

936

帖子

3841

积分

版主

Rank: 7Rank: 7Rank: 7

金钱
2003
金币
8
威望
0
贡献
0
发表于 2015-11-3 15:16:46 | 显示全部楼层 |阅读模式
AI人工智能 语音助理 人工翻译 教程
2015年多款O2O软件 移动支付曝支付漏洞 不接触银行卡可转款

       控制所有的摄像头,或开或关,或拍摄本不该有的画面……你以为这种黑技术只有《碟中谍》这类好莱坞大片中才有。然而在昨天举办的上海Geek Pwn(极棒)2015嘉年华中,白帽黑客们就现场演示了这一幕幕“电影中的场景”,其中一支代表队现场就攻破了7只主流品牌摄像头,完全控制摄像头的运动和拍摄。

  在这场倍受人们关注的“黑客奥运会”上,移动支付、O2O、智能家居等领域的安全问题成为今年的热点,超过40款主流智能软硬件被安全极客们攻破,包括华为、小米、京东、海尔等品牌都成为攻破对象。

  不接触银行卡转余额

  如今许多消费者出门不带现金,习惯刷卡。在现场,一位选手演示了对大型POS机品牌盒子支付的攻破。他首先用一张他人的银行卡完成一次刷卡交易,再用一张自己的银行卡刷卡消费。在此后的24小时之内,他就可以用自己的卡无限次消费他人银行卡上的余额了。

  还有一位比赛选手,在自始至终不接触银行卡本身的状态下,将卡上的余额转出。他首先通过手机绑定第一大POS机品牌拉卡拉收款宝,通过手机劫持交易信息,获得了余额信息。然后再输入任意密码,就将余额全部转走。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。

  充值1分钱可随便用

  站在互联网+的风口,各类O2O服务已经成为日常生活的一部分,一旦应用存在安全风险,不仅对用户个人生活造成威胁,也威胁着平台商的数据和资金安全。

  一位比赛选手在现场成功演示了利用未知漏洞攻破“嘟嘟美甲”这一O2O的软件系统。选手通过支付宝[微博]为“嘟嘟美甲”官方APP上一账号充值,仅需实际支付1分钱,就向这一账号内充值任意金额。此外,e家洁、功夫熊、阿姨帮、微票儿等O2O服务平台都被证明有类似漏洞。有观众当场大呼“这也太不安全了”。

  有趣的是,当选手试图当场演示“e家洁”这一APP的漏洞时,发现官方关闭了云服务。此前,大赛组委会通知了该公司当天的赛事安排。最后,不得已换为“阿姨帮”,也顺利完成攻破。

  对此,支付宝方面立刻给出回应称,“经我们的技术人员排查,原因是商家APP发送付款单据给支付宝应用时,在商户APP内部被中间人劫持并篡改所致,跟支付接口无关,并称支付宝已第一时间联系该APP,并愿意为其紧急修复提供帮助。”

  华为小米也有漏洞

  在现场,选手还同时对华为荣耀4A手机、小米手机[微博]4C进行获取系统root权限的操作,改变了两部手机的开机动画。评委说,这代表选手已经攻破了两部手机的最高root权限。

  据了解,华为、小米厂商的安全负责代表也提前接到大赛邀请,见证了当天的攻破行动。挑战赛结束后,他们第一时间接到了大赛组委会提交的漏洞报告,并立刻做出响应、及时修补。对此,他们并没有回避,并且指出:“问题被发现和解决得越早,产品越安全。”

版权声明:
本文由 德云社区 整理,原文来自网络。


AI人工智能 语音助理 人工翻译 教程
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|Sitemap|小黑屋|德云社区 |网站地图  

GMT+8, 2024-11-23 07:43 , Processed in 0.033438 second(s), 29 queries .

工业和信息化部: 粤ICP备14079481号-2

技术支持 乐数软件     版权所有 © 2014-2021 德云社区    

快速回复 返回顶部 返回列表