解密:黑客操控POS机背后的技术原理
金融类移动支付一直是黑客攻击的目标,10月24日上午,在2015 GeekPwn嘉年华智能软硬件破解大赛现场,选手轻松攻破多家主流厂商的手机POS机,转走绑定的银行卡上余额。
让人吃惊的是,整个过程并未直接接触银行卡,更未获得其交易密码。这不禁让消费者、商家、移动金融支付厂商都倒吸一口冷气。
从相关厂商回应的公告中可以发现,黑客攻击手法都是通过劫持用户安卓手机,利用工具篡改交易信息,转走卡内余额。
通付盾安全技术专家分析,在此次破解案例中,黑客首先对厂商产品App进行逆向分析,分析出厂商进行交易的业务逻辑,结合WIFI钓鱼的方式,对App的交易通信信息进行劫持,获得关键交易的传输报文。通过以上手段,黑客就可以很轻松地构造虚假的交易报文,盗取账号中的余额。由于Android应用程序的开发语言(Java)的特殊性和Android系统的开源性,使得Android应用极容易被黑客逆向分析。
移动金融支付产品被当做黑客攻击的演示案例,很大程度上暴露了产品在安全防护上的不足。厂商在公告中也自省“在钓鱼和交易篡改防护方面依然面临巨大的挑战”。那么如何防止钓鱼、交易被篡改?通付盾安全专家建议对APP进行加固保护,增加安全强度,避免应用被逆向分析。即使APP被钓鱼,因黑客不能进行逆向分析,无法获悉具体的业务逻辑,用户的财产也不会受到损失。
正如相关厂商公告中所说,“移动支付安全问题是业界面临的共同挑战,需要行业共同面对和进步“。针对此次安全危机,通付盾愿意免费为移动金融支付商提供应用检测及应用加固服务一次,协助企业尽快修复安全漏洞,保障用户智能生活安全。用户可登录APP安全云,简单填写申请信息,客服确认后即可享受免费检测和加固服务,提升移动支付工具的安全性。
安全是支付业务的命脉,需要整个行业为之努力。无数次的安全事件告诉我们,安全面前,没有人能全身而退,只有对安全、对技术永无止境的追求!