手機支付漏洞

除了二維碼支付,其他的手機支付方式也存在安全隱患。前復旦大學副教授周哲(音譯)最近展示了今年在新加坡舉行的Black Hat Asia上3中不同智能手機支付方式存在的安全風險。他表示智能手機的支付方式有2個缺陷:支付時生成的臨時令牌是不加密的;支付生成的靜態臨時令牌可以重複使用,存在被黑客利用的風險。

周哲表示,每次使用手機支付時,都會生成一個臨時令牌,然後靠近付款機進行掃描,一旦被掃描後該令牌就會失效。利用這個特性,黑客可以在臨時令牌靠近付款機支付前,停止與伺服器的通信,在臨時令牌失效前,去掃描支付更高價格的款項。

由於智能手機利用Magnetic Secure Transmission(MST)技術,在手機內置用於無線充電的線圈上發射電磁信號,就能完全模擬傳統的磁條銀行卡刷卡的整個過程,這種技術被稱為近場支付。理論上使用MST技術只能在7厘米的範圍內才能有效支付,但是目前的商用MST技術套件能夠做到在2米的範圍內就能進行支付,成本只要25刀。因此黑客可以在此範圍內選擇特定的電磁信號進行支付,還可以收集那些尚未支付的臨時令牌。

還有印度谷歌發明的Tez系統中使用了聲控支付技術同樣可以被劫持。這種聲控支付通常用於自動販賣機上,可以輕易獲取聲控支付的信號。如果自動販賣機使用無線網路來驗證聲控支付的臨時令牌,那麼黑客還可以使用無線信號干擾機來阻截那些尚未支付的臨時令牌信號。

除了以上2種手機支付方式,用途更加廣泛的掃描二維碼進行支付也存在安全隱患。周哲的攻擊方式是偷偷打開手機的前置攝像頭,在手機靠近付款機進行掃描二維碼時拍下二維碼在付款掃描儀上的鏡像,還可以對二維碼進行修改使之無法識別,而智能手機上的惡意軟體會獲取一個完整可用的新二維碼,這種技術還可以用在手機上的面對面使用二維碼支付,利用惡意軟體生成特定的二維碼,掃描後就會自動下載安裝惡意軟體。

周哲表示他將這些安全隱患提交給了中國大陸最大的移動支付平台,馬上引起了對方的重視,最快速度更新了手機上的應用程序,保證在進行支付時殺死所有正在使用前置攝像頭的系統進程。因此建議未來手機支付時的通信都需要加密,還要增加挑戰-響應機制保證安全,每個支付的令牌都只能一次綁定,不能重複使用。

WTT資訊-最新科技資訊,實時網安信息?

www.wttech.org圖標

歡迎關注我們:

@W-Pwn WTT資訊-最新科技資訊,實時網安信息@W-Pwn

推薦閱讀:

想學習黑客方面的知識,有哪些書值得推薦?
黑色產業價值是什麼意思?
為什麼自認為QQ安全做的很好還是被盜?
一般密碼10個數字和26個字母組合如果我或有關重要部門造了50新字母,黑客鍵盤上沒有這些字母如何破解?
FreeBuf聚焦社會工程學:如何降低社會工程學威脅?

TAG:手機支付 | 黑客Hacker | 信息技術IT |