多款O2O软件曝出支付漏洞不接触银行卡也能转款

2015-10-26 8:42:28 来源：北京青年报

原标题：多款O2O软件曝出支付漏洞不接触银行卡也能转款

　　控制所有的摄像头，或开或关，或拍摄本不该有的画面……你以为这种黑技术只有《碟中谍》这类好莱坞大片中才有。然而在昨天举办的上海Geek Pwn（极棒）2015嘉年华中，白帽黑客们就现场演示了这一幕幕“电影中的场景”，其中一支代表队现场就攻破了7只主流品牌摄像头，完全控制摄像头的运动和拍摄。

　　在这场倍受人们关注的“黑客奥运会”上，移动支付、O2O、智能家居等领域的安全问题成为今年的热点，超过40款主流智能软硬件被安全极客们攻破，包括华为、小米、京东、海尔等品牌都成为攻破对象。

　　不接触银行卡也能转走余额

　　如今许多消费者出门不带现金，习惯刷卡。在现场，一位选手演示了对大型POS机品牌盒子支付的攻破。他首先用一张他人的银行卡完成一次刷卡交易，再用一张自己的银行卡刷卡消费。在此后的24小时之内，他就可以用自己的卡无限次消费他人银行卡上的余额了。

　　还有一位比赛选手，在自始至终不接触银行卡本身的状态下，将卡上的余额转出。他首先通过手机绑定第一大POS机品牌拉卡拉收款宝，通过手机劫持交易信息，获得了余额信息。然后再输入任意密码，就将余额全部转走。整个过程选手本身并未直接接触该银行卡，更没有获得该卡密码。

　　充值1分钱O2O软件就可“随便用”

　　站在互联网+的风口，各类O2O服务已经成为日常生活的一部分，一旦应用存在安全风险，不仅对用户个人生活造成威胁，也威胁着平台商的数据和资金安全。

　　一位比赛选手在现场成功演示了利用未知漏洞攻破“嘟嘟美甲”这一O2O的软件系统。选手通过支付宝为“嘟嘟美甲”官方APP上一账号充值，仅需实际支付1分钱，就向这一账号内充值任意金额。此外，e家洁、功夫熊、阿姨帮、微票儿等O2O服务平台都被证明有类似漏洞。有观众当场大呼“这也太不安全了”。

　　有趣的是，当选手试图当场演示“e家洁”这一APP的漏洞时，发现官方关闭了云服务。此前，大赛组委会通知了该公司当天的赛事安排。最后，不得已换为“阿姨帮”，也顺利完成攻破。

　　对此，支付宝方面立刻给出回应称，“经我们的技术人员排查，原因是商家APP发送付款单据给支付宝应用时，在商户APP内部被中间人劫持并篡改所致，跟支付接口无关，并称支付宝已第一时间联系该APP，并愿意为其紧急修复提供帮助。”

　　华为、小米现场收到漏洞报告

　　在现场，选手还同时对华为荣耀4A手机、小米手机4C进行获取系统root权限的操作，改变了两部手机的开机动画。评委说，这代表选手已经攻破了两部手机的最高root权限。

　　据了解，华为、小米厂商的安全负责代表也提前接到大赛邀请，见证了当天的攻破行动。挑战赛结束后，他们第一时间接到了大赛组委会提交的漏洞报告，并立刻做出响应、及时修补。对此，他们并没有回避，并且指出：“问题被发现和解决得越早，产品越安全。”文/本报见习记者温婧