雷鋒網(wǎng)按：本文來(lái)自硬創(chuàng)公開(kāi)課 | 奇怪！銀行卡里的錢(qián)被默默地偷走了，內(nèi)容整理自宋宇昊的演講實(shí)錄。

分享嘉賓：宋宇昊，畢業(yè)于上海交通大學(xué)信息安全學(xué)院，碁震（KEEN）的聯(lián)合創(chuàng)始人，現(xiàn)擔(dān)任技術(shù)總監(jiān)、高級(jí)研究員，曾任職于微軟（中國(guó)）安全響應(yīng)中心，并于2010年獲得微軟中國(guó)突出貢獻(xiàn)獎(jiǎng)。目前關(guān)注Android相關(guān)和智能設(shè)備領(lǐng)域的安全研究，同時(shí)致力于打造 GeekPwn 平臺(tái)，向廣大白帽子們征集智能設(shè)備漏洞，提交給廠商，并把危害展現(xiàn)給大眾。

【KEEN 聯(lián)合創(chuàng)始人 宋宇昊】

這世上的騙局，到底誰(shuí)買(mǎi)單？

隨著移動(dòng)支付的普及，我們的生活變得越來(lái)越便利。我們甚至已經(jīng)可以不帶錢(qián)包、現(xiàn)金、銀行卡出門(mén)，只用手機(jī)就能完成吃飯、娛樂(lè)、交通、購(gòu)物的支付。

平時(shí)我們一講到支付安全，大家最容易想到的就是釣魚(yú)、詐騙、木馬。確實(shí)，釣魚(yú)、詐騙和木馬是支付領(lǐng)域最常見(jiàn)犯罪手段，它的犯罪成本低、易于實(shí)施。他們其實(shí)屬于社會(huì)工程攻擊的范疇，犯罪者一般先通過(guò)各種方式獲取受害者的信息，比如聯(lián)系方式、甚至可能是受害者的個(gè)人隱私信息，然后犯罪者利用受害者心理弱點(diǎn)進(jìn)行欺詐，誘使他們做一些操作。例如洗錢(qián)調(diào)查開(kāi)安全賬戶、家人生病、來(lái)看看我們的照片等等都是常見(jiàn)的欺詐手段。最近幾天被廣泛傳播的《為什么一條短信就能騙走我所有的財(cái)產(chǎn)？》文章中講的也是一種詐騙手段。

所有欺詐手段的共同點(diǎn)是，犯罪者都要誘使受害者犯錯(cuò)，只有受害者執(zhí)行了錯(cuò)誤的操作才能夠讓犯罪者得逞。那么是不是只要用戶保持清醒的頭腦不受騙上當(dāng)就安全了呢？

答案是否定的。除了用戶有犯錯(cuò)的機(jī)會(huì)，產(chǎn)品廠商的設(shè)計(jì)者、開(kāi)發(fā)者也會(huì)犯錯(cuò)，他們犯的錯(cuò)誤也可能導(dǎo)致用戶財(cái)產(chǎn)受到犯罪者的侵害，當(dāng)然也可能導(dǎo)致廠商自己受侵害。大家都知道開(kāi)發(fā)者寫(xiě)代碼出錯(cuò)，那叫Bug。而如果正好有某個(gè)Bug不巧，能夠被攻擊者利用，在沒(méi)有被授權(quán)的情況下訪問(wèn)或者破壞系統(tǒng)，那這個(gè)Bug就叫做漏洞。

有些人會(huì)把這類(lèi)攻擊者叫做黑客，但我這兒為了避免混淆不這么稱呼，因?yàn)樵诓煌瑘?chǎng)合下黑客有不同含義。有時(shí)候，黑客被認(rèn)為是利用技術(shù)研究成果實(shí)施計(jì)算機(jī)犯罪的人，這類(lèi)人也被叫做黑帽黑客；有時(shí)候，黑客是指那些把研究成果用于幫助廠商改進(jìn)產(chǎn)品，幫助保護(hù)用戶安全的人，這類(lèi)叫做白帽黑客。

白帽子們會(huì)在各種渠道，例如 GeekPwn 這樣的平臺(tái)上分享并展示出自己的研究成果，然后我們將這些成果提供給廠商，以幫助他們提升產(chǎn)品安全。正因如此，這些案例中的漏洞并沒(méi)有被用于犯罪行為中，而是被廠商及時(shí)地修復(fù)了。今天我們就來(lái)看看我們能從中吸取到些什么經(jīng)驗(yàn)和教訓(xùn)。

消費(fèi)型App存在哪些問(wèn)題？

所謂消費(fèi)型APP是指所有能在其中進(jìn)行充值、購(gòu)物、購(gòu)買(mǎi)服務(wù)等等消費(fèi)行為的APP。在這個(gè)案例中，是一個(gè)O2O提供線下服務(wù)的APP，用戶可以在APP中充值余額。然而一個(gè)惡意的用戶可以做到在APP中充值任意多的錢(qián)，實(shí)際卻只支付1分錢(qián)或其他任意金額。這個(gè)場(chǎng)景中的受害者是這個(gè)APP服務(wù)的提供商。

那么這個(gè)任意占廠商便宜的漏洞是怎么產(chǎn)生的呢？在分析原因前，我們先看一下攻擊的流程。

這個(gè)場(chǎng)景中有手機(jī)APP、支付平臺(tái)、APP服務(wù)端三方。根據(jù)廠商的設(shè)想，他們預(yù)期的是這樣的支付流程，我們看下圖的左側(cè)：

1、手機(jī)APP首先生成了一個(gè)100元的充值訂單發(fā)送給APP服務(wù)端；

2、用戶獲得一個(gè)支付鏈接，依據(jù)鏈接向支付平臺(tái)支付100元；

3、支付平臺(tái)會(huì)向APP服務(wù)端發(fā)送消息，說(shuō)某個(gè)訂單成功支付了100元；

4、APP服務(wù)端收到消息，檢查是否支付成功，如成功就往賬戶余額中增加100元。

這個(gè)流程問(wèn)題在哪兒呢？我們看剛才那幅圖的右側(cè)：

如果這個(gè)APP用戶并不是一個(gè)老實(shí)的用戶，他并沒(méi)有按照訂單返回的支付信息支付100元，而是把它修改為支付0.01元，并且完成支付。在這個(gè)情況下，APP服務(wù)端同樣會(huì)收到支付平臺(tái)發(fā)來(lái)的消息，說(shuō)某個(gè)訂單成功支付了0.01元。然而APP服務(wù)端卻并不管實(shí)際支付了多少錢(qián)，只關(guān)心這個(gè)訂單支付成功了，并且按照訂單金額給賬戶中充值了100元。這樣用戶就成功地坑了APP廠商99.99元。

導(dǎo)致這個(gè)問(wèn)題的原因是什么呢？是一個(gè)APP服務(wù)端的漏洞，APP服務(wù)端沒(méi)有遵循支付平臺(tái)的API文檔標(biāo)準(zhǔn)，對(duì)支付平臺(tái)回調(diào)的支付結(jié)果信息做充分的校驗(yàn)。

二維碼支付存在哪些問(wèn)題？

我相信大多數(shù)朋友都用過(guò)二維碼支付，在實(shí)體店鋪中展示二維碼，掃一下就能完成支付，非常方便。我們這就來(lái)看一下二維碼掃碼支付的漏洞案例。在這個(gè)案例中，攻擊者到任意實(shí)體店鋪進(jìn)行消費(fèi)，以二維碼方式支付，但卻從受害者的賬戶中扣費(fèi)。這里的受害者可以是任何一個(gè)在這個(gè)支付平臺(tái)上注冊(cè)過(guò)的用戶。在分析原因前，我們先來(lái)看一下攻擊流程。

這個(gè)場(chǎng)景中有用戶、實(shí)體店鋪和支付平臺(tái)三方。根據(jù)支付廠商的設(shè)想，預(yù)期這樣的支付流程：

用戶Alice點(diǎn)開(kāi)掃碼支付，這時(shí)候支付客戶端會(huì)向支付平臺(tái)服務(wù)端請(qǐng)求一個(gè)二維碼，假設(shè)這里請(qǐng)求的AccountNo叫Alice，這樣支付平臺(tái)服務(wù)端就會(huì)返回一個(gè)二維碼，這個(gè)二維碼對(duì)應(yīng)于Alice的賬戶，并且只能用一次，這就相當(dāng)于一個(gè)支付令牌。

店鋪的二維碼掃描槍掃了一下這個(gè)二維碼，店鋪就獲得了這個(gè)支付令牌，它就可以從Alice的賬號(hào)中扣款了。然而有個(gè)叫Chuck的惡意用戶，它在向服務(wù)端請(qǐng)求支付二維碼的時(shí)候，在AccountNo當(dāng)中填入了Bob，而不是他自己的賬戶Chuck，這時(shí)候店鋪雖然掃描了Chuck手機(jī)上的二維碼，但實(shí)際上會(huì)從Bob賬戶中扣款。

手機(jī)POS機(jī)存在哪些問(wèn)題？

很多小店鋪或者私營(yíng)業(yè)主使用手機(jī)收款POS機(jī)來(lái)進(jìn)行收費(fèi)，這為刷卡消費(fèi)提供了很多便利。在這個(gè)案例中，消費(fèi)者到一家店鋪的POS機(jī)上進(jìn)行刷卡消費(fèi)。然而在消費(fèi)者刷卡完成離開(kāi)店鋪之后，惡意的POS機(jī)收款方雖然并沒(méi)有拿到消費(fèi)者的銀行卡和銀行卡密碼，但依然可以從消費(fèi)者的卡中扣除任意金額的資金，轉(zhuǎn)到自己賬戶中。分析原因前，我們先來(lái)看一下演示視頻。

【視頻鏈接戳這】

這個(gè)視頻是我們GeekPwn和央視在315晚會(huì)上合作的一個(gè)短片，短片展示了之前描述的POS問(wèn)題的案例。在視頻中，惡意的POS持有者在刷卡者刷卡消費(fèi)完成之后，隨便拿了一張便利店的會(huì)員積分卡，輸入任意密碼就刷走了之前刷卡者銀行卡里的錢(qián)。在這里刷便利店的磁條卡和輸入任意密碼僅僅是為了觸發(fā)刷卡支付的相應(yīng)步驟。由于315晚會(huì)時(shí)間的限制，短片沒(méi)能細(xì)致地解釋這個(gè)盜刷流程，因此不少觀眾以為演示的是復(fù)制磁條卡的問(wèn)題，其實(shí)這個(gè)案例比復(fù)制磁條卡更進(jìn)一步。在刷卡消費(fèi)過(guò)程中，需要兩個(gè)要素，一是磁卡，二是磁卡的支付密碼，缺一不可。因此如果只是復(fù)制磁卡，那么還需要額外獲得磁卡的密碼。在這個(gè)案例中，受害者刷卡消費(fèi)時(shí)，刷真實(shí)的卡，輸入正確的密碼，在收款客戶端中生成了一個(gè)扣款的令牌。然而這個(gè)扣款令牌并沒(méi)有實(shí)現(xiàn)一次一密，在刷卡完成后并沒(méi)有作廢，因此惡意的POS持有者就可以從手機(jī)內(nèi)存中取出這個(gè)令牌，反復(fù)使用反復(fù)扣費(fèi)。所以說(shuō)，導(dǎo)致這個(gè)案例的原因，是支付平臺(tái)的POS支付協(xié)議的漏洞。

指紋支付存在哪些問(wèn)題？

如果你的手機(jī)忘了鎖屏，放桌上被人拿走了，錢(qián)會(huì)被偷走嗎？你可能會(huì)想：“應(yīng)該沒(méi)法轉(zhuǎn)走錢(qián)吧，畢竟支付的時(shí)候還需要再驗(yàn)證一次。更何況我設(shè)置了指紋驗(yàn)證，比支付密碼更安全?！贝蠖鄶?shù)時(shí)候確實(shí)如此，但是如果這里有漏洞，那就不是這樣了。這個(gè)案例展示了攻擊者拿到一臺(tái)已經(jīng)解鎖屏幕的手機(jī)，繞過(guò)指紋驗(yàn)證進(jìn)行支付的場(chǎng)景，受害者當(dāng)然是手機(jī)被拿走的那個(gè)人。在分析原因前，我們先看一下攻擊流程。

按照正常的指紋支付流程，APP在受到支付請(qǐng)求時(shí)會(huì)要求驗(yàn)證，讓指紋驅(qū)動(dòng)提供相應(yīng)賬戶的身份認(rèn)證信息，比如說(shuō)需要Alice用戶的身份信息。如果這時(shí)候是Alice本人在操作，那么指紋驅(qū)動(dòng)控制硬件讀取Alice的指紋，并且跟之前登記的Alice的指紋進(jìn)行特征比對(duì)。如果匹配成功，那么指紋驅(qū)動(dòng)就會(huì)將Alice的身份認(rèn)證信息提供給APP，APP就可以繼續(xù)支付流程。然而在這個(gè)案例中的這款手機(jī)里，指紋驅(qū)動(dòng)有漏洞，它允許普通用戶開(kāi)啟它的調(diào)試模式。而在打開(kāi)調(diào)試模式的情況下，它不會(huì)再校驗(yàn)指紋，不論刷什么人的指紋，它都將向APP提供手機(jī)中登記的身份認(rèn)證信息。因此，無(wú)論誰(shuí)只要能插上USB線調(diào)試這臺(tái)手機(jī)，就能完成支付流程。

我們很容易理解的是，誰(shuí)犯的錯(cuò)誤就應(yīng)該由誰(shuí)來(lái)避免或糾正。對(duì)于釣魚(yú)詐騙這類(lèi)的威脅，是基于用戶的上當(dāng)受騙而實(shí)施的犯罪，這時(shí)我們通常需要教育用戶，以免用戶上當(dāng)受騙。而對(duì)于漏洞威脅，是基于產(chǎn)品廠商的設(shè)計(jì)者、開(kāi)發(fā)者所犯的錯(cuò)誤，那么當(dāng)然主要就應(yīng)該由廠商來(lái)?yè)?dān)負(fù)起應(yīng)對(duì)威脅的責(zé)任。

對(duì)于廠商，有些普適性的建議措施，比如：采用HTTPS等加密協(xié)議保護(hù)所有的通訊，盡快把磁條卡換成芯片卡等。除此之外，還需要針對(duì)性的措施，比如：修復(fù)掉所有被發(fā)現(xiàn)的漏洞。

每一次漏洞被發(fā)現(xiàn)被修復(fù)的過(guò)程，代價(jià)都是高昂的，對(duì)于廠商而言，更經(jīng)濟(jì)的做法是在產(chǎn)品設(shè)計(jì)初期或開(kāi)發(fā)過(guò)程中就能夠提升產(chǎn)品的安全性，這就需要增加設(shè)計(jì)與開(kāi)發(fā)人員的安全教育，提升安全意識(shí)，并且在設(shè)計(jì)架構(gòu)、設(shè)計(jì)協(xié)議、開(kāi)發(fā)程序的過(guò)程中，引入安全開(kāi)發(fā)流程。這樣可以盡可能地減少產(chǎn)品中的漏洞，把漏洞消滅在萌芽階段，從而減少安全應(yīng)急的成本。

 （演講到此結(jié)束，以下節(jié)選2個(gè)精彩問(wèn)答分享）

精彩問(wèn)答：

1、問(wèn)：由于線上支付的場(chǎng)景非常多，消費(fèi)型App校驗(yàn)漏洞、二維碼支付協(xié)議漏洞，這種越權(quán)提取漏洞是否普遍存在？目前我們是否需要避免這類(lèi)交易呢？

宋宇昊：根據(jù)我們的觀察，相當(dāng)多的消費(fèi)型APP廠商是成長(zhǎng)型的中小公司，產(chǎn)品也處于發(fā)展初期，因此漏洞相對(duì)較多。而支付平臺(tái)的廠商一般都是大公司，產(chǎn)品相對(duì)比較成熟，這類(lèi)危害嚴(yán)重的漏洞也就并不普遍了。軟硬件產(chǎn)品中的漏洞不可避免，作為消費(fèi)者而言，不必過(guò)于恐慌，因噎廢食。

可以從兩方面考慮這個(gè)問(wèn)題：

• 一方面從技術(shù)角度，考察監(jiān)督一下廠商的產(chǎn)品是否持續(xù)性地暴露出低級(jí)錯(cuò)誤高危漏洞、廠商是否及時(shí)修復(fù)被披露的漏洞；

• 另外從非技術(shù)角度，考察廠商是否有政策保障賠付用戶的意外損失，并且是否有能力賠付。

2、問(wèn)：今天提到的攻擊方式，很多都帶有定向攻擊的屬性，例如：要針對(duì)某個(gè)消費(fèi)型App寫(xiě)充值攻擊代碼，或者需要拿到被害人的手機(jī)，這些都會(huì)提高黑客的攻擊成本，如何來(lái)理解攻擊成本和這些攻擊成真的可能性之間的關(guān)系呢？

攻擊成本確實(shí)是一個(gè)需要考慮的問(wèn)題：

• 對(duì)于每一個(gè)漏洞而言，都需要編寫(xiě)和使用專(zhuān)門(mén)針對(duì)性的攻擊代碼進(jìn)行攻擊，攻擊成本遠(yuǎn)遠(yuǎn)高于批量群發(fā)的欺詐信息；

• 產(chǎn)品漏洞對(duì)于廠商而言是可控的（相較于可能受騙的各種用戶而言），一旦攻擊被廠商知曉，漏洞就會(huì)被修復(fù)，攻擊者也就無(wú)法繼續(xù)利用該漏洞。

因此在實(shí)際的移動(dòng)支付犯罪案例中，絕大多數(shù)是欺詐、釣魚(yú)、木馬等案例，利用漏洞攻擊的相對(duì)較少，并不太普遍。但是考慮到支付領(lǐng)域的犯罪收益巨大，該領(lǐng)域漏洞攻擊的回報(bào)率也是非常高的，因此漏洞攻擊被投入實(shí)際應(yīng)用的可能性很高。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。