多款O2O軟件曝出支付漏洞不接觸銀行卡也能轉款

2015-10-26 8:42:28 來源：北京青年報

原標題：多款O2O軟件曝出支付漏洞不接觸銀行卡也能轉款

　　控製所有的攝像頭，或開或關，或拍攝本不該有的畫麵……你以為這種黑技術隻有《碟中諜》這類好萊塢大片中才有。然而在昨天舉辦的上海Geek Pwn（極棒）2015嘉年華中，白帽黑客們就現場演示了這一幕幕“電影中的場景”，其中一支代表隊現場就攻破了7隻主流品牌攝像頭，完全控製攝像頭的運動和拍攝。

　　在這場倍受人們關注的“黑客奧運會”上，移動支付、O2O、智能家居等領域的安全問題成為今年的熱點，超過40款主流智能軟硬件被安全極客們攻破，包括華為、小米、京東、海爾等品牌都成為攻破對象。

　　不接觸銀行卡也能轉走餘額

　　如今許多消費者出門不帶現金，習慣刷卡。在現場，一位選手演示了對大型POS機品牌盒子支付的攻破。他首先用一張他人的銀行卡完成一次刷卡交易，再用一張自己的銀行卡刷卡消費。在此後的24小時之內，他就可以用自己的卡無限次消費他人銀行卡上的餘額了。

　　還有一位比賽選手，在自始至終不接觸銀行卡本身的狀態下，將卡上的餘額轉出。他首先通過手機綁定第一大POS機品牌拉卡拉收款寶，通過手機劫持交易信息，獲得了餘額信息。然後再輸入任意密碼，就將餘額全部轉走。整個過程選手本身並未直接接觸該銀行卡，更沒有獲得該卡密碼。

　　充值1分錢O2O軟件就可“隨便用”

　　站在互聯網+的風口，各類O2O服務已經成為日常生活的一部分，一旦應用存在安全風險，不僅對用戶個人生活造成威脅，也威脅著平台商的數據和資金安全。

　　一位比賽選手在現場成功演示了利用未知漏洞攻破“嘟嘟美甲”這一O2O的軟件係統。選手通過支付寶為“嘟嘟美甲”官方APP上一賬號充值，僅需實際支付1分錢，就向這一賬號內充值任意金額。此外，e家潔、功夫熊、阿姨幫、微票兒等O2O服務平台都被證明有類似漏洞。有觀眾當場大呼“這也太不安全了”。

　　有趣的是，當選手試圖當場演示“e家潔”這一APP的漏洞時，發現官方關閉了雲服務。此前，大賽組委會通知了該公司當天的賽事安排。最後，不得已換為“阿姨幫”，也順利完成攻破。

　　對此，支付寶方麵立刻給出回應稱，“經我們的技術人員排查，原因是商家APP發送付款單據給支付寶應用時，在商戶APP內部被中間人劫持並篡改所致，跟支付接口無關，並稱支付寶已第一時間聯係該APP，並願意為其緊急修複提供幫助。”

　　華為、小米現場收到漏洞報告

　　在現場，選手還同時對華為榮耀4A手機、小米手機4C進行獲取係統root權限的操作，改變了兩部手機的開機動畫。評委說，這代表選手已經攻破了兩部手機的最高root權限。

　　據了解，華為、小米廠商的安全負責代表也提前接到大賽邀請，見證了當天的攻破行動。挑戰賽結束後，他們第一時間接到了大賽組委會提交的漏洞報告，並立刻做出響應、及時修補。對此，他們並沒有回避，並且指出：“問題被發現和解決得越早，產品越安全。”文/本報見習記者溫婧