蓝点网
给你感兴趣的内容

台湾主导的移动支付应用因明文传输密码上线即被下架

《Linux就该这么学》运维人员的必读Linux系统入门书籍

台湾省台北市在六月份末期推出的由当地官方主导的移动支付平台 Pay.Taipei 由于数据加密问题被紧急撤回。

该应用在上线后没过多久就被用户发现不但将用户的账号密码以明文形式发送至服务器并且还采用HTTP传输。

攻击者只需通过劫持的方式即可轻易获得用户的账号ID和密码, 进而登录用户的账号盗刷平台和银行卡余额。

台湾主导的移动支付应用因明文传输密码上线即被下架

中间人攻击举例:

例如当用户在公共场合连接开放WiFi网络时攻击者只需要也接入该网络即可通过各类嗅探工具抓取对应流量。

第二种比较常见的中间人攻击手法是在公共场合建立开放WiFi热点诱导用户接入攻击者建立的这个WiFi网络。

这种情况下只要是没有经过加密连接的内容攻击者均可以轻而易举的抓取用户发送的流量或者回传恶意内容。

外包开发商紧急下架:

在传出该问题后 Pay.Taipei 应用的外包开发商蓝新科技紧急从Google Play应用商店中撤下了这款问题应用。

蓝新科技对外宣称这款应用其实早在去年年底的时候完成, 之后则在等待其他支付平台的系统进行对接工作。

同时该公司还宣称目前这款应用程序并未完成最后的验收工作, 不过不清楚为何没有经过验收就拿去上架了。

为何必须使用HTTPS传输:

前文我们已经提到中间人攻击(MIT)的两种实例, 不使用加密的情况下通过劫持方式获取资料实在太简单。

苹果在去年已经要求AppStore中的应用务必启用ATS安全加密措施,ATS政策即要求App启用 TLS 1.2 加密。

在早前几年UC 浏览器曾被爆出收集用户设备信息并使用明文即HTTP传输用户的历史记录至该公司的服务器

棱镜门事件的主角斯诺登则是爆出了美国的情报人员利用UC浏览器的这个漏洞来截获某些他们感兴趣的内容

由此可见使用HTTPS加密传输是多么的重要,显然如果依然使用 HTTP 传输那么攻击起来的几乎是没有难度。

转载请注明蓝点网 » 台湾主导的移动支付应用因明文传输密码上线即被下架
分享到: 更多 (0)

评论 10

评论前必须登录!

 

  1. #3
    Opera 46.0.2597.32 Opera 46.0.2597.32 Windows 8.1 64位版 Windows 8.1 64位版

    東施效顰。。。

    kg5个月前 (07-03)
  2. #2
    Firefox 54.0 Firefox 54.0 Windows 10 64位版 Windows 10 64位版

    湾湾真搞笑

    未沬子5个月前 (07-03)
    • Google Chrome 59.0.3071.115 Google Chrome 59.0.3071.115 Windows 10 64位版 Windows 10 64位版

      没啥高效的 发这个不是用来嘲讽的 只是提醒 国内A

    • Google Chrome 59.0.3071.115 Google Chrome 59.0.3071.115 Windows 10 64位版 Windows 10 64位版

      国内App明文传输的一大堆 只不过没人关注罢了

      • Firefox 54.0 Firefox 54.0 Windows 10 64位版 Windows 10 64位版

        移动支付类的应该不会有这么做的吧。

        未沬子5个月前 (07-03)
      • WebView 4.0 WebView 4.0 Android 6.0 Android 6.0

        SSL加密传输很难吗,都还在用http ,
        或者说这些人知识迭代太慢,还不太懂HTTPS ?

        等你在雨中5个月前 (07-04)
  3. #1
    WebView 4.0 WebView 4.0 Android 6.0.1 Android 6.0.1

    利用UC浏览器的这个漏洞来截获某些他们感兴趣的盗版资源😂

    虫师君5个月前 (07-03)