黑客究竟用什么姿势偷走了你的钱?
按照正常的指纹支付流程,APP在受到支付请求时会要求验证,让指纹驱动提供相应账户的身份认证信息,比如说需要Alice用户的身份信息。如果这时候是Alice本人在操作,那么指纹驱动控制硬件读取Alice的指纹,并且跟之前登记的Alice的指纹进行特征比对。如果匹配成功,那么指纹驱动就会将Alice的身份认证信息提供给APP,APP就可以继续支付流程。然而在这个案例中的这款手机里,指纹驱动有漏洞,它允许普通用户开启它的调试模式。而在打开调试模式的情况下,它不会再校验指纹,不论刷什么人的指纹,它都将向APP提供手机中登记的身份认证信息。因此,无论谁只要能插上USB线调试这台手机,就能完成支付流程。 我们很容易理解的是,谁犯的错误就应该由谁来避免或纠正。对于钓鱼诈骗这类的威胁,是基于用户的上当受骗而实施的犯罪,这时我们通常需要教育用户,以免用户上当受骗。而对于漏洞威胁,是基于产品厂商的设计者、开发者所犯的错误,那么当然主要就应该由厂商来担负起应对威胁的责任。 对于厂商,有些普适性的建议措施,比如:采用HTTPS等加密协议保护所有的通讯,尽快把磁条卡换成芯片卡等。除此之外,还需要针对性的措施,比如:修复掉所有被发现的漏洞。 每一次漏洞被发现被修复的过程,代价都是高昂的,对于厂商而言,更经济的做法是在产品设计初期或开发过程中就能够提升产品的安全性,这就需要增加设计与开发人员的安全教育,提升安全意识,并且在设计架构、设计协议、开发程序的过程中,引入安全开发流程。这样可以尽可能地减少产品中的漏洞,把漏洞消灭在萌芽阶段,从而减少安全应急的成本。 (演讲到此结束,以下节选2个精彩问答分享) 精彩问答: 1、问:由于线上支付的场景非常多,消费型App校验漏洞、二维码支付协议漏洞,这种越权提取漏洞是否普遍存在?目前我们是否需要避免这类交易呢? 宋宇昊:根据我们的观察,相当多的消费型APP厂商是成长型的中小公司,产品也处于发展初期,因此漏洞相对较多。而支付平台的厂商一般都是大公司,产品相对比较成熟,这类危害严重的漏洞也就并不普遍了。软硬件产品中的漏洞不可避免,作为消费者而言,不必过于恐慌,因噎废食。 可以从两方面考虑这个问题: 一方面从技术角度,考察监督一下厂商的产品是否持续性地暴露出低级错误高危漏洞、厂商是否及时修复被披露的漏洞; 另外从非技术角度,考察厂商是否有政策保障赔付用户的意外损失,并且是否有能力赔付。 2、问:今天提到的攻击方式,很多都带有定向攻击的属性,例如:要针对某个消费型App写充值攻击代码,或者需要拿到被害人的手机,这些都会提高黑客的攻击成本,如何来理解攻击成本和这些攻击成真的可能性之间的关系呢? 攻击成本确实是一个需要考虑的问题: 对于每一个漏洞而言,都需要编写和使用专门针对性的攻击代码进行攻击,攻击成本远远高于批量群发的欺诈信息; 产品漏洞对于厂商而言是可控的(相较于可能受骗的各种用户而言),一旦攻击被厂商知晓,漏洞就会被修复,攻击者也就无法继续利用该漏洞。 因此在实际的移动支付犯罪案例中,绝大多数是欺诈、钓鱼、木马等案例,利用漏洞攻击的相对较少,并不太普遍。但是考虑到支付领域的犯罪收益巨大,该领域漏洞攻击的回报率也是非常高的,因此漏洞攻击被投入实际应用的可能性很高。 (编辑:网站开发网_马鞍山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |