欧冠杯

欧冠杯

扫一扫加入微信公众号

Top
网站首页 新闻 国内 国际 广东 欧冠
时政要闻 专题 直播 网视 网谈 网评
      “欧冠+”客户端   
  订报服务
  您现在的位置: 欧冠 > 新闻推荐 > 副头条 > 正文

新闻推荐

多款O2O软件曝出支付漏洞 不接触银行卡也能转款
更新时间:2015-10-26 8:42:28    来源:北京青年报
原标题:多款O2O软件曝出支付漏洞 不接触银行卡也能转款

  控制所有的摄像头,或开或关,或拍摄本不该有的画面……你以为这种黑技术只有《碟中谍》这类好莱坞大片中才有。然而在昨天举办的上海Geek Pwn(极棒)2015嘉年华中,白帽黑客们就现场演示了这一幕幕“电影中的场景”,其中一支代表队现场就攻破了7只主流品牌摄像头,完全控制摄像头的运动和拍摄。

  在这场倍受人们关注的“黑客奥运会”上,移动支付、O2O、智能家居等领域的安全问题成为今年的热点,超过40款主流智能软硬件被安全极客们攻破,包括华为、小米、京东、海尔等品牌都成为攻破对象。

  不接触银行卡也能转走余额

  如今许多消费者出门不带现金,习惯刷卡。在现场,一位选手演示了对大型POS机品牌盒子支付的攻破。他首先用一张他人的银行卡完成一次刷卡交易,再用一张自己的银行卡刷卡消费。在此后的24小时之内,他就可以用自己的卡无限次消费他人银行卡上的余额了。

  还有一位比赛选手,在自始至终不接触银行卡本身的状态下,将卡上的余额转出。他首先通过手机绑定第一大POS机品牌拉卡拉收款宝,通过手机劫持交易信息,获得了余额信息。然后再输入任意密码,就将余额全部转走。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。

  充值1分钱O2O软件就可“随便用”

  站在互联网+的风口,各类O2O服务已经成为日常生活的一部分,一旦应用存在安全风险,不仅对用户个人生活造成威胁,也威胁着平台商的数据和资金安全。

  一位比赛选手在现场成功演示了利用未知漏洞攻破“嘟嘟美甲”这一O2O的软件系统。选手通过支付宝为“嘟嘟美甲”官方APP上一账号充值,仅需实际支付1分钱,就向这一账号内充值任意金额。此外,e家洁、功夫熊、阿姨帮、微票儿等O2O服务平台都被证明有类似漏洞。有观众当场大呼“这也太不安全了”。

  有趣的是,当选手试图当场演示“e家洁”这一APP的漏洞时,发现官方关闭了云服务。此前,大赛组委会通知了该公司当天的赛事安排。最后,不得已换为“阿姨帮”,也顺利完成攻破。

  对此,支付宝方面立刻给出回应称,“经我们的技术人员排查,原因是商家APP发送付款单据给支付宝应用时,在商户APP内部被中间人劫持并篡改所致,跟支付接口无关,并称支付宝已第一时间联系该APP,并愿意为其紧急修复提供帮助。”

  华为、小米现场收到漏洞报告

  在现场,选手还同时对华为荣耀4A手机、小米手机4C进行获取系统root权限的操作,改变了两部手机的开机动画。评委说,这代表选手已经攻破了两部手机的最高root权限。

  据了解,华为、小米厂商的安全负责代表也提前接到大赛邀请,见证了当天的攻破行动。挑战赛结束后,他们第一时间接到了大赛组委会提交的漏洞报告,并立刻做出响应、及时修补。对此,他们并没有回避,并且指出:“问题被发现和解决得越早,产品越安全。”文/本报见习记者 温婧

文章编辑:赵银岷 
  • 上一篇文章:
  • 下一篇文章:
  • 欧冠免责声明:

    本网所有稿件,未经许可不得转载。
    转载稿件不代表本网观点,如有异议请联系我们即可处理。
    刊发、转载的稿件,作者可联系本网申领稿酬。


    多款O2O软件曝出支付漏洞 不接触银行卡也能转款
    2015-10-26 8:42:28    来源:北京青年报
    原标题:多款O2O软件曝出支付漏洞 不接触银行卡也能转款

      控制所有的摄像头,或开或关,或拍摄本不该有的画面……你以为这种黑技术只有《碟中谍》这类好莱坞大片中才有。然而在昨天举办的上海Geek Pwn(极棒)2015嘉年华中,白帽黑客们就现场演示了这一幕幕“电影中的场景”,其中一支代表队现场就攻破了7只主流品牌摄像头,完全控制摄像头的运动和拍摄。

      在这场倍受人们关注的“黑客奥运会”上,移动支付、O2O、智能家居等领域的安全问题成为今年的热点,超过40款主流智能软硬件被安全极客们攻破,包括华为、小米、京东、海尔等品牌都成为攻破对象。

      不接触银行卡也能转走余额

      如今许多消费者出门不带现金,习惯刷卡。在现场,一位选手演示了对大型POS机品牌盒子支付的攻破。他首先用一张他人的银行卡完成一次刷卡交易,再用一张自己的银行卡刷卡消费。在此后的24小时之内,他就可以用自己的卡无限次消费他人银行卡上的余额了。

      还有一位比赛选手,在自始至终不接触银行卡本身的状态下,将卡上的余额转出。他首先通过手机绑定第一大POS机品牌拉卡拉收款宝,通过手机劫持交易信息,获得了余额信息。然后再输入任意密码,就将余额全部转走。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。

      充值1分钱O2O软件就可“随便用”

      站在互联网+的风口,各类O2O服务已经成为日常生活的一部分,一旦应用存在安全风险,不仅对用户个人生活造成威胁,也威胁着平台商的数据和资金安全。

      一位比赛选手在现场成功演示了利用未知漏洞攻破“嘟嘟美甲”这一O2O的软件系统。选手通过支付宝为“嘟嘟美甲”官方APP上一账号充值,仅需实际支付1分钱,就向这一账号内充值任意金额。此外,e家洁、功夫熊、阿姨帮、微票儿等O2O服务平台都被证明有类似漏洞。有观众当场大呼“这也太不安全了”。

      有趣的是,当选手试图当场演示“e家洁”这一APP的漏洞时,发现官方关闭了云服务。此前,大赛组委会通知了该公司当天的赛事安排。最后,不得已换为“阿姨帮”,也顺利完成攻破。

      对此,支付宝方面立刻给出回应称,“经我们的技术人员排查,原因是商家APP发送付款单据给支付宝应用时,在商户APP内部被中间人劫持并篡改所致,跟支付接口无关,并称支付宝已第一时间联系该APP,并愿意为其紧急修复提供帮助。”

      华为、小米现场收到漏洞报告

      在现场,选手还同时对华为荣耀4A手机、小米手机4C进行获取系统root权限的操作,改变了两部手机的开机动画。评委说,这代表选手已经攻破了两部手机的最高root权限。

      据了解,华为、小米厂商的安全负责代表也提前接到大赛邀请,见证了当天的攻破行动。挑战赛结束后,他们第一时间接到了大赛组委会提交的漏洞报告,并立刻做出响应、及时修补。对此,他们并没有回避,并且指出:“问题被发现和解决得越早,产品越安全。”文/本报见习记者 温婧

    文章编辑:赵银岷 
     

    版权声明 | 欧冠日报社简介 | 欧冠简介 | 网上订报 | 联系我们
    版权所有:欧冠 未经授权,请勿转载或建立镜像。
    《欧冠日报》遗失声明热线:020-8397096 邮编:510000
    本网违法和不良信息举报电话:020-8397000 举报邮箱:rhgps@163.com
    广东省“网络敲诈和有偿删帖”专项整治工作热线:020-83598032 举报网站:
      
    41120180801
    地址:广州市广卫路19-1号 报业·国贸大厦 


    扫一扫在手机打开当前页
    版权所有:欧冠 未经授权,请勿转载或建立镜像。
    41120180801 电话:020-8397000