移动支付漏洞大 没密码也能买买买

简介:

你的卡不是你的卡,而且别人无需劫走你密码;你家的摄像头不是你的摄像头,因为它帮别人偷看你家;你操控无人机技术再好,但现在你控制器在你手上,它却被别人操纵了……这种黑技术,只有《碟中谍》里才有?10月24日,被业内誉为“中国黑客奥运会”的GeekPwn 2015嘉年华拉开帷幕,国内多个顶尖“白帽子(安全黑客)”团队在沪巅峰对决。继去年“黑”了特斯拉电动汽车后,今年金融支付、无人机、O2O及智能家居等成了“白帽子”们展示出的重点“攻破”对象。

移动支付漏洞大 没密码也能买买买

金融支付:黑客不要你密码

移动支付越来越普遍,但也许你根本没告诉过别人你密码,你的卡就能让被别人任意买买买!在当天的演示中,选手还轻松攻破了拉卡拉收款宝POS机、盒子支付POS机等,攻击者可以不受限地用伪造卡盗用被攻击者的银行账户。值得一提的是,手机应用和移动终端的手写签名功能并未识别出伪造者。此外,通过银联账户交易系统,黑客可以盗刷用户银行卡。据悉,黑客利用SSL互联网底层协议的未知漏洞在用户不知不觉中查询余额和消费记录,能让普通用户的个人隐私将被侵害,个人信息一览无遗。由于涉及财产安全,金融支付工具和渠道的安全威胁影响面更广、破坏力更大。

O2O应用:手机还在你手里

O2O服务已渗透到衣食住行方方面面,家政、餐饮、美业、生鲜、保健等O2O应用更是风生水起。昨天,“白帽子”们现场演示了如何利用“嘟嘟美甲”“阿姨帮”等热门应用上的系统漏洞,通过在自己手机上调用支付宝,在实际支付1分钱的情况下,就完成任意价格的订单充值;此外,还有全国最大的上门推拿**平台“功夫熊”、极速在线选座购票平台“微票儿”等O2O服务平台,昨天也被演示“攻破”。专家指出,虽然各类生活服务类应用如雨后春笋般在国人的手机上“猛长”,但由于有些本身安全能力有限,很多O2O产品都在支付接口有着类似的漏洞,恶意黑客可借此不知不觉“入场”,偷获用户手机号、家庭住址、平台账号等关键信息,甚至威胁到用户的财产和人身安全。

智能家居:摄像头变监控你

当你进入梦乡,却被伴随着音乐节奏变得忽明忽暗的智能床灯惊醒;当你在家中自由活动,却不知道私生活已经通过摄像头直播给别人……本届嘉年华上,摄像头、无人机、智能烤箱、智能路由器、智能插座及智能家居套装在内的智能家居项目,占据了GeekPwn挑战总项目的一半,不难想象如今风头正劲的智能家居正面临着极大的安全挑战。

现场尤其长亭科技(蓝莲花 CTF 战队)演示的一次性攻破7款智能摄像头最具看点,“黑客”们能接入摄像头所在的网络,远程获得摄像头ROOT权限,并进一步控制摄像头运动方向、窃取已录视频甚至播放篡改音频,这不禁让人联想到美国电影里摄像头杀人的情节。数据显示,2014年中国的摄像头出货量大约是3500万,到2018年预估会达到7500万,其安全漏洞一旦被犯罪分子利用后果不堪设想。

“我们办会的目的有两个,一是不要吓唬用户,二是不要威胁厂商。”在这场与Pwn2Own齐名的世界级黑客大赛上,昨天包括“老鹰”、“袁哥”、清华诸葛建伟等国内知名安全专家都参与担任了现场评审。同时,华为、360、小米等厂商安全负责人也参加了现场活动,挑战赛后组委会第一时间向现场厂商提交了漏洞报告。据江湖外号“大牛蛙”的GeekPwn发起和创办人王琦表示,GeekPwn 嘉年华将会第一时间把漏洞报告负责任地提交给厂商,推动厂商修复安全漏洞,提高产品安全性。“以攻为防——问题被发现和越早解决,产品越安全,用户越安全。”昨天傍晚,在会上被“黑”的拉卡拉就在其官方微博上对此公开积极响应,表示目前已经完成系统升级,且欢迎来自各方的挑战和专业建议,以共建系统安全。


作者:蓝雨泪


来源:51CTO


相关文章
|
安全
阿根廷黑客盯上中国网银用户 警惕“IK网银盗号器”
日前,金山毒霸云安全中心拦截到一款名为“IK网银盗号器”(Win32.Troj.Small.rz.134942 )的网银盗号木马。该木马主要利用邮件进行传播,病毒邮件的发件人是“刘娜 ”,信件内容为“您好 我在互联网上看到你们公司发的产品信息,请问向这种的什么价格,可以邮购吗 谢谢回复”。
1259 0
|
安全
黑客称攻破乔布斯亚马逊网站账户 欲售相关信息
5月15日消息,一个黑客称他已经攻破了苹果首席执行官史蒂夫·乔布斯在亚马逊网站的私人账户并且要把乔布斯账户的细节出售给新闻记者。这些私人账户的细节信息包括乔布斯最近几年的采购历史和乔布斯的信用卡号码。
681 0
|
监控 安全
黑客网银木马服务器曝光 14家银行网银遭监控
4月7日,金山毒霸云安全中心发布周(4.07-4.12)病毒预警,广大互联网用户特别是网银用户需警惕“IK网银盗号器”(Win32.Troj.Small.rz.134942 )。该网银盗号木马通过邮件传播,专门盗取网银用户的账号密码。
1924 0
|
安全
婚恋网站遭信任危机 实名制破解之策
一项调查表明,96%的人质疑“网上相亲”的真实性。婚恋网站要提供“防骗”的服务,才能获取会员的信任。为了增加会员资料的真实性,一些婚恋网站设置了实名验证,并对接公安部身份证验证系统 2010年春节的来临引得各大婚恋网站厉兵秣马。
1551 0
|
新零售 安全 数据安全/隐私保护