安全研究人员解析自动贩卖机移动支付程序 发现漏洞
2018/10/18 10:26:54

一名安全研究人员通过解析自动贩卖机的移动支付程序,发现该程序使用乾淨程序码,未妥善保护程序安全,找出可无限免费储值的漏洞。

随着时代的演变,市场上的自动贩卖机已从传统的投币模式进展到可用移动程序中的虚拟钱包来付款,同时也替骇客开闢了一个新乐园,一名义大利的安全研究人员Matteo Pisani最近骇进了当地着名的咖啡自动贩卖机品牌Argenta,让自己能够于移动程序上免费地无限储值。

Pisani说,有一天他到义大利的大学去拜访某位老教授,两人一起走到校园裡的Argenta自动贩卖机想买咖啡,Pisani想要以铜板投币,教授却说不必,因为他用Argenta的移动程序付款还可以打折,于是当Pisani看到教授以程序中的虚拟钱包买了咖啡时,一方面觉得这好酷,另一方面却也激起他的邪恶念头,想要骇进这个以低功耗蓝牙(BLE)及近场通讯(NFC)所建立的付款机制。

于是当天他回到家的时候,就下载了Argenta的移动程序并于电脑上变更该程序以让它能够被除错/调试,继之观察与分析该程序的行为,找出程序所使用的资料库与存取途径,进而发现资料库的其中一个表格能够变更储值金额,就算他的帐号原本的储值金额是零,也能填入999欧元(约3.6万元新台币),未来还可周而复始地储值。

Pisani表示,在检查所有反向的原始码之后,他发现了大量的乾淨程序码,这些程序码非常地清楚简洁,毫不模煳,代表业者并没有採用任何有力的措施来保护使用者的资料,或是保障程序的安全。

自诩为白帽骇客的Pisani主动通知了Argenta,并建议该公司抛弃现有的架构,并重新开发一个更安全的产品。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消