黑客究竟用什么姿势偷走了你的钱？

手机POS机存在哪些问题？

很多小店铺或者私营业主使用手机收款POS机来进行收费，这为刷卡消费提供了很多便利。在这个案例中，消费者到一家店铺的POS机上进行刷卡消费。然而在消费者刷卡完成离开店铺之后，恶意的POS机收款方虽然并没有拿到消费者的银行卡和银行卡密码，但依然可以从消费者的卡中扣除任意金额的资金，转到自己账户中。分析原因前，我们先来看一下演示视频。

【视频链接戳这】

这个视频是我们GeekPwn和央视在315晚会上合作的一个短片，短片展示了之前描述的POS问题的案例。在视频中，恶意的POS持有者在刷卡者刷卡消费完成之后，随便拿了一张便利店的会员积分卡，输入任意密码就刷走了之前刷卡者银行卡里的钱。在这里刷便利店的磁条卡和输入任意密码仅仅是为了触发刷卡支付的相应步骤。由于315晚会时间的限制，短片没能细致地解释这个盗刷流程，因此不少观众以为演示的是复制磁条卡的问题，其实这个案例比复制磁条卡更进一步。在刷卡消费过程中，需要两个要素，一是磁卡，二是磁卡的支付密码，缺一不可。因此如果只是复制磁卡，那么还需要额外获得磁卡的密码。在这个案例中，受害者刷卡消费时，刷真实的卡，输入正确的密码，在收款客户端中生成了一个扣款的令牌。然而这个扣款令牌并没有实现一次一密，在刷卡完成后并没有作废，因此恶意的POS持有者就可以从手机内存中取出这个令牌，反复使用反复扣费。所以说，导致这个案例的原因，是支付平台的POS支付协议的漏洞。

指纹支付存在哪些问题？

如果你的手机忘了锁屏，放桌上被人拿走了，钱会被偷走吗？你可能会想：“应该没法转走钱吧，毕竟支付的时候还需要再验证一次。更何况我设置了指纹验证，比支付密码更安全。”大多数时候确实如此，但是如果这里有漏洞，那就不是这样了。这个案例展示了攻击者拿到一台已经解锁屏幕的手机，绕过指纹验证进行支付的场景，受害者当然是手机被拿走的那个人。在分析原因前，我们先看一下攻击流程。

按照正常的指纹支付流程，APP在受到支付请求时会要求验证，让指纹驱动提供相应账户的身份认证信息，比如说需要Alice用户的身份信息。如果这时候是Alice本人在操作，那么指纹驱动控制硬件读取Alice的指纹，并且跟之前登记的Alice的指纹进行特征比对。如果匹配成功，那么指纹驱动就会将Alice的身份认证信息提供给APP，APP就可以继续支付流程。然而在这个案例中的这款手机里，指纹驱动有漏洞，它允许普通用户开启它的调试模式。而在打开调试模式的情况下，它不会再校验指纹，不论刷什么人的指纹，它都将向APP提供手机中登记的身份认证信息。因此，无论谁只要能插上USB线调试这台手机，就能完成支付流程。

我们很容易理解的是，谁犯的错误就应该由谁来避免或纠正。对于钓鱼诈骗这类的威胁，是基于用户的上当受骗而实施的犯罪，这时我们通常需要教育用户，以免用户上当受骗。而对于漏洞威胁，是基于产品厂商的设计者、开发者所犯的错误，那么当然主要就应该由厂商来担负起应对威胁的责任。

对于厂商，有些普适性的建议措施，比如：采用HTTPS等加密协议保护所有的通讯，尽快把磁条卡换成芯片卡等。除此之外，还需要针对性的措施，比如：修复掉所有被发现的漏洞。

每一次漏洞被发现被修复的过程，代价都是高昂的，对于厂商而言，更经济的做法是在产品设计初期或开发过程中就能够提升产品的安全性，这就需要增加设计与开发人员的安全教育，提升安全意识，并且在设计架构、设计协议、开发程序的过程中，引入安全开发流程。这样可以尽可能地减少产品中的漏洞，把漏洞消灭在萌芽阶段，从而减少安全应急的成本。

（演讲到此结束，以下节选2个精彩问答分享）

精彩问答：

1、问：由于线上支付的场景非常多，消费型App校验漏洞、二维码支付协议漏洞，这种越权提取漏洞是否普遍存在？目前我们是否需要避免这类交易呢？

宋宇昊：根据我们的观察，相当多的消费型APP厂商是成长型的中小公司，产品也处于发展初期，因此漏洞相对较多。而支付平台的厂商一般都是大公司，产品相对比较成熟，这类危害严重的漏洞也就并不普遍了。软硬件产品中的漏洞不可避免，作为消费者而言，不必过于恐慌，因噎废食。

可以从两方面考虑这个问题：

一方面从技术角度，考察监督一下厂商的产品是否持续性地暴露出低级错误高危漏洞、厂商是否及时修复被披露的漏洞；

另外从非技术角度，考察厂商是否有政策保障赔付用户的意外损失，并且是否有能力赔付。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!