解密：黑客操控POS機背后的技術原理

　　金融類移動支付一直是黑客攻擊的目標，10月24日上午，在2015 GeekPwn嘉年華智能軟硬件破解大賽現場，選手輕松攻破多家主流廠商的手機POS機，轉走綁定的銀行卡上余額。

　　讓人吃驚的是，整個過程并未直接接觸銀行卡，更未獲得其交易密碼。這不禁讓消費者、商家、移動金融支付廠商都倒吸一口冷氣。

　　從相關廠商回應的公告中可以發現，黑客攻擊手法都是通過劫持用戶安卓手機，利用工具篡改交易信息，轉走卡內余額。

　　通付盾安全技術專家分析，在此次破解案例中，黑客首先對廠商產品App進行逆向分析，分析出廠商進行交易的業務邏輯，結合WIFI釣魚的方式，對App的交易通信信息進行劫持，獲得關鍵交易的傳輸報文。通過以上手段，黑客就可以很輕松地構造虛假的交易報文，盜取賬號中的余額。由于Android應用程序的開發語言(Java)的特殊性和Android系統的開源性，使得Android應用極容易被黑客逆向分析。

　　移動金融支付產品被當做黑客攻擊的演示案例，很大程度上暴露了產品在安全防護上的不足。廠商在公告中也自省“在釣魚和交易篡改防護方面依然面臨巨大的挑戰”。那么如何防止釣魚、交易被篡改?通付盾安全專家建議對APP進行加固保護，增加安全強度，避免應用被逆向分析。即使APP被釣魚，因黑客不能進行逆向分析，無法獲悉具體的業務邏輯，用戶的財產也不會受到損失。

　　正如相關廠商公告中所說，“移動支付安全問題是業界面臨的共同挑戰，需要行業共同面對和進步“。針對此次安全危機，通付盾愿意免費為移動金融支付商提供應用檢測及應用加固服務一次，協助企業盡快修復安全漏洞，保障用戶智能生活安全。用戶可登錄APP安全云，簡單填寫申請信息，客服確認后即可享受免費檢測和加固服務，提升移動支付工具的安全性。

　　安全是支付業務的命脈，需要整個行業為之努力。無數次的安全事件告訴我們，安全面前，沒有人能全身而退，只有對安全、對技術永無止境的追求!