蓝点网
给你感兴趣的内容

台湾主导的移动支付应用因明文传输密码上线即被下架

台湾省台北市在六月份末期推出的由当地官方主导的移动支付平台 Pay.Taipei 由于数据加密问题被紧急撤回。

该应用在上线后没过多久就被用户发现不但将用户的账号密码以明文形式发送至服务器并且还采用HTTP传输。

攻击者只需通过劫持的方式即可轻易获得用户的账号ID和密码, 进而登录用户的账号盗刷平台和银行卡余额。

台湾主导的移动支付应用因明文传输密码上线即被下架

中间人攻击举例:

例如当用户在公共场合连接开放WiFi网络时攻击者只需要也接入该网络即可通过各类嗅探工具抓取对应流量。

第二种比较常见的中间人攻击手法是在公共场合建立开放WiFi热点诱导用户接入攻击者建立的这个WiFi网络。

这种情况下只要是没有经过加密连接的内容攻击者均可以轻而易举的抓取用户发送的流量或者回传恶意内容。

外包开发商紧急下架:

在传出该问题后 Pay.Taipei 应用的外包开发商蓝新科技紧急从Google Play应用商店中撤下了这款问题应用。

蓝新科技对外宣称这款应用其实早在去年年底的时候完成, 之后则在等待其他支付平台的系统进行对接工作。

同时该公司还宣称目前这款应用程序并未完成最后的验收工作, 不过不清楚为何没有经过验收就拿去上架了。

为何必须使用HTTPS传输:

前文我们已经提到中间人攻击(MIT)的两种实例, 不使用加密的情况下通过劫持方式获取资料实在太简单。

苹果在去年已经要求AppStore中的应用务必启用ATS安全加密措施,ATS政策即要求App启用 TLS 1.2 加密。

在早前几年UC 浏览器曾被爆出收集用户设备信息并使用明文即HTTP传输用户的历史记录至该公司的服务器

棱镜门事件的主角斯诺登则是爆出了美国的情报人员利用UC浏览器的这个漏洞来截获某些他们感兴趣的内容

由此可见使用HTTPS加密传输是多么的重要,显然如果依然使用 HTTP 传输那么攻击起来的几乎是没有难度。

转载请注明蓝点网 » 台湾主导的移动支付应用因明文传输密码上线即被下架
分享到: 更多 (0)
除非特别注明否则下列评论均不代表本站观点

评论 10

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #3
    Opera 46.0.2597.32 Windows 8.1 x64 Edition

    東施效顰。。。

    kg3个月前 (07-03)回复
  2. #2
    Firefox 54.0 Windows 10 x64 Edition

    湾湾真搞笑

    未沬子3个月前 (07-03)回复
    • Google Chrome 59.0.3071.115 Windows 10 x64 Edition

      没啥高效的 发这个不是用来嘲讽的 只是提醒 国内A

      山外的鸭子哥3个月前 (07-03)回复
    • Google Chrome 59.0.3071.115 Windows 10 x64 Edition

      国内App明文传输的一大堆 只不过没人关注罢了

      山外的鸭子哥3个月前 (07-03)回复
      • Firefox 54.0 Windows 10 x64 Edition

        移动支付类的应该不会有这么做的吧。

        未沬子3个月前 (07-03)回复
        • Google Chrome 59.0.3071.115 Windows 10 x64 Edition

          国内是没有 不过其他类别的也应该HTTPS

          山外的鸭子哥3个月前 (07-03)回复
      • WebView 4.0 Android 6.0

        SSL加密传输很难吗,都还在用http ,
        或者说这些人知识迭代太慢,还不太懂HTTPS ?

        等你在雨中3个月前 (07-04)回复
        • Google Chrome 59.0.3071.115 Windows 10 x64 Edition

          很简单 现在免费证书很多 部署几乎没有难度

          山外的鸭子哥3个月前 (07-04)回复
  3. #1
    WebView 4.0 Android 6.0.1

    利用UC浏览器的这个漏洞来截获某些他们感兴趣的盗版资源😂

    虫师君3个月前 (07-03)回复