移动支付漏洞大 没密码也能买买买

你的卡不是你的卡，而且别人无需劫走你密码;你家的摄像头不是你的摄像头，因为它帮别人偷看你家;你操控无人机技术再好，但现在你控制器在你手上，它却被别人操纵了……这种黑技术，只有《碟中谍》里才有?10月24日，被业内誉为“中国黑客奥运会”的GeekPwn 2015嘉年华拉开帷幕，国内多个顶尖“白帽子(安全黑客)”团队在沪巅峰对决。继去年“黑”了特斯拉电动汽车后，今年金融支付、无人机、O2O及智能家居等成了“白帽子”们展示出的重点“攻破”对象。

金融支付：黑客不要你密码

移动支付越来越普遍，但也许你根本没告诉过别人你密码，你的卡就能让被别人任意买买买!在当天的演示中，选手还轻松攻破了拉卡拉收款宝POS机、盒子支付POS机等，攻击者可以不受限地用伪造卡盗用被攻击者的银行账户。值得一提的是，手机应用和移动终端的手写签名功能并未识别出伪造者。此外，通过银联账户交易系统，黑客可以盗刷用户银行卡。据悉，黑客利用SSL互联网底层协议的未知漏洞在用户不知不觉中查询余额和消费记录，能让普通用户的个人隐私将被侵害，个人信息一览无遗。由于涉及财产安全，金融支付工具和渠道的安全威胁影响面更广、破坏力更大。

O2O应用：手机还在你手里

O2O服务已渗透到衣食住行方方面面，家政、餐饮、美业、生鲜、保健等O2O应用更是风生水起。昨天，“白帽子”们现场演示了如何利用“嘟嘟美甲”“阿姨帮”等热门应用上的系统漏洞，通过在自己手机上调用支付宝，在实际支付1分钱的情况下，就完成任意价格的订单充值;此外，还有全国最大的上门推拿**平台“功夫熊”、极速在线选座购票平台“微票儿”等O2O服务平台，昨天也被演示“攻破”。专家指出，虽然各类生活服务类应用如雨后春笋般在国人的手机上“猛长”，但由于有些本身安全能力有限，很多O2O产品都在支付接口有着类似的漏洞，恶意黑客可借此不知不觉“入场”，偷获用户手机号、家庭住址、平台账号等关键信息，甚至威胁到用户的财产和人身安全。

智能家居：摄像头变监控你

当你进入梦乡，却被伴随着音乐节奏变得忽明忽暗的智能床灯惊醒;当你在家中自由活动，却不知道私生活已经通过摄像头直播给别人……本届嘉年华上，摄像头、无人机、智能烤箱、智能路由器、智能插座及智能家居套装在内的智能家居项目，占据了GeekPwn挑战总项目的一半，不难想象如今风头正劲的智能家居正面临着极大的安全挑战。

现场尤其长亭科技(蓝莲花 CTF 战队)演示的一次性攻破7款智能摄像头最具看点，“黑客”们能接入摄像头所在的网络，远程获得摄像头ROOT权限，并进一步控制摄像头运动方向、窃取已录视频甚至播放篡改音频，这不禁让人联想到美国电影里摄像头杀人的情节。数据显示，2014年中国的摄像头出货量大约是3500万，到2018年预估会达到7500万，其安全漏洞一旦被犯罪分子利用后果不堪设想。

“我们办会的目的有两个，一是不要吓唬用户，二是不要威胁厂商。”在这场与Pwn2Own齐名的世界级黑客大赛上，昨天包括“老鹰”、“袁哥”、清华诸葛建伟等国内知名安全专家都参与担任了现场评审。同时，华为、360、小米等厂商安全负责人也参加了现场活动，挑战赛后组委会第一时间向现场厂商提交了漏洞报告。据江湖外号“大牛蛙”的GeekPwn发起和创办人王琦表示，GeekPwn 嘉年华将会第一时间把漏洞报告负责任地提交给厂商，推动厂商修复安全漏洞，提高产品安全性。“以攻为防——问题被发现和越早解决，产品越安全，用户越安全。”昨天傍晚，在会上被“黑”的拉卡拉就在其官方微博上对此公开积极响应，表示目前已经完成系统升级，且欢迎来自各方的挑战和专业建议，以共建系统安全。