支付之家网(WWW.ZFZJ.CN) 10月24日, GeekPwn2017国际安全极客大赛在上海召开,知名持牌第三方支付机构拉卡拉旗下智能POS产品在大赛中被爆存在重大安全漏洞,挑战选手仅用21分钟即攻破POS机并成功复制银行卡进行消费。
现在使用现金消费的情况越来越少了,很多商家开始采用多合一的智能POS机收单。与传统POS机相比,智能产品带来了丰富功能,也产生了许多问题。
手捂着输密码,银行卡密码就不会丢吗?这场攻破赛的挑战者是来自 *** 团队的闻观行和赵振江,他们要展示的是利用拉卡拉POS设备的漏洞,在POS机器中替换关键应用软件,然后获得所有在POS机上的刷卡信息,并复制银行卡进行消费。
10:00:20 2017-10-24
破解项目:拉卡拉POS机银行卡复制
被破解设备:拉卡拉 云POS A8
评委:诸葛建伟、万涛
破解团队:上海 *** 团队
选手:闻观行、赵振江
10:05:16 2017-10-24
拉卡拉POS机破解进行中。
10:08:19 2017-10-24
破解紧张进行中,因为现场蓝牙设备过多,存在一定干扰,目前破解尚未成功,距离结束仅剩8分钟。雷锋网报道中提及,“在这组选手挑战过程中,现场环境受到了较多未知来源的蓝牙干扰,这可能是现场观众无意打开的,也可能是有人刻意为之,难不成拉卡拉派了间谍?”
10:26:41 2017-10-24
时间剩余仅剩下1:29秒,已经找到现场干扰源,主办发提供的胸卡自带蓝牙,因为有限空间内设备太多,导致干扰过大。目前选手改用有线连接方式进行数据传输。
10:29:31 2017-10-24
很遗憾,20分钟倒数计时结束,未能完成现场破解演示,但是这并不代表拉卡拉POS机绝对安全,应现场观众要求,多给选手5分钟,采用有线连接方式进行继续破解,不知道是否可以成功?
10:32:27 2017-10-24
加时赛,1分25秒,拉卡拉POS机破解成功,目前正在验证中。
10:37:12 2017-10-24
选手成功读取银行卡信息、密码,并使用复制的新卡消费成功,虽然破解不算成功,但是演示成功!
以上图片来自安全客,虽然挑战者没有挑战成功,但是漏洞依然存在,毕竟现实中的 *** 黑客不会只尝试20分钟攻破POS机。
公开资料显示,拉卡拉成立于2005年,于2011年5月3日成功获得人民银行颁发的《支付业务许可证》,目前已经续展成功有效期至2021年5月2日。拉卡拉支付牌照业务类型覆盖互联网支付、移动 *** 支付、数字电视支付、银行卡收单、预付卡受理,属于千金难买的全牌照支付公司,其在国内第三方移动支付领域和线下银行卡收单行业保持交易规模前三。
2016年2月,拉卡拉尝试用资产注入的方式,重组上市公司“ *** 旅游”。重组预案公布后引起诸多质疑,市场认为 *** 旅游通过精妙设计故意规避借壳,上交所也连续发出多封重组问询函,要求公司进行解释说明。在重重压力下, *** 旅游在去年6月份终止与拉卡拉的重组。
今年3月3日, *** 披露了拉卡拉在创业板上市的招股说明书。此次IPO,系拉卡拉独立拆分“拉卡拉支付”业务上市,而非集团层面的IPO。根据首次公开IPO申报稿,拉卡拉拟发行不超过4001万股,目标是登录深交所创业板。
6个月后,拉卡拉因申请文件不齐备等被 *** 中止IPO。拉卡拉表示被 *** 列入中止IPO审查名单的原因是,律师事务所更换签字律师。目前尚未有最新进展的消息。
此外,拉卡拉收单业务却也是违规重灾区,过去一年,三家子公司因违规受到了央行不同程度上的处罚。2016年3月17日,拉卡拉宁波分公司因未落实特约商户实名制,要求停止宁波市银行卡收单业务一年;2016年10月25日,拉卡拉福建分公司因未按规定开展客户身份识别、未按规定保存客户身份资料和交易记录、未按规定报送可疑交易报告;2016年12月22日,拉卡拉安徽分公司因违反银行卡收单业务相关规定,给予警告。
支付之家网(ZFZJ.CN)了解到,早在2015年10月24日的世界级黑客大赛GeekPwn嘉年华上,就有拉卡拉旗下产品被爆存在安全漏洞,选手成功攻破拉卡拉收款宝POS机,使卡内余额莫名消失。同样被攻破的还有盒子支付POS机等。
选手通过安卓手机绑定拉卡拉收款宝POS机,并在手机上安装Xposed模块去劫持交易信息。只要用户用银行卡查询余额,手机会将交易信息劫持下来,用另一张卡去刷卡转帐,输入任意密码,就可以转走前面银行卡上的余额。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。
去年4月,央行发布了《非银行支付机构分类评级管理办法》,系统安全被列为基本评价指标,占比15%,为第三大考量因素。
人民银行关于《支付业务许可证》续展工作中也明确表示“在支付业务设施安全及风险监控方面存在重大缺陷,或存在较大规模的盗窃、出卖、泄露、丢失客户信息情形的”,应指导其客观审慎开展续展申请,敦促引导其开展兼并重组,调整支付业务类型或覆盖范围、稳妥安排市场退出等工作。
距离钱越近的地方,安全问题不得儿戏,我们也相信拉卡拉能尽快修复漏洞!
来源:博客,欢迎分享本文!
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。