通过利用手环的系统漏洞,黑客可以忽略手机,不经过配对校验就直接与用户的手环实现连接。
不仅是手机病毒可以盗取用户的支付密码等信息,甚至平时用于计步的智能手环,也可能由于被黑客放侵而泄漏用户的银行卡密码。
9月22日,由上海市经济和信息化委员会、上海市长宁区政府指导,上海市长宁区科学技术委员会、上海市信息安全行业协会等联合主办“虹桥‘互联网+’论坛暨第三届互联网金融科技风险与治理高峰论坛”举办,呼吁金融企业提高对黑客攻击和漏洞处置的重视程度。
安全专家、奇虎360网络攻防实验室林伟透露,智能手环等穿戴设备近年来越来越受到年轻人的欢迎,很多人想象不到,它也已经存在着让黑客入侵并掌握用户个人金融信息的安全隐患。通过利用手环的系统漏洞,黑客可以忽略手机,不经过配对校验就直接与用户的手环实现连接。这样不仅可以做出“清零手环步数”这样的恶作剧,甚至当用户戴着手环到ATM机输入银行卡密码时,黑客可以借助手环的运动传感器,依据手部动作的位置和幅度,远程分析出用户正在输入的密码。
除了传统金融业,正在兴起的互联网金融业因系统隐患和安全漏洞面临的威胁则更大。论坛透露了一组来自于互联网企业的统计数据。
据较早网贷发布的《2015年上半年中国P2P网贷指数、人气指数运行报告》显示,截止至2015年6月底,全国共有3547家P2P网贷平台,纳入中国P2P网贷指数统计的P2P网贷平台为2553家。另据网贷之家的统计数据,2015年8月份P2P网贷整体成交量达到974.63亿元,环比上升超过18%。同时,参与P2P网贷的投资人和借款人达到了204.28万人和54.94万人,参与人数大幅攀升。
与P2P的红火形成对比的是,从乌云平台较新发布的《2015年P2P金融网站安全漏洞分析报告》来看,自2014年至今,乌云平台收到有关P2P行业漏洞总数为402个,仅2015年上半年就有235个,上半年比去年一年增长了40.7%。2015年下半年截止至8月已收集到120个漏洞,其中高危漏洞更是高达56.2%。在报告的402个漏洞中,有可能影响到资金安全的漏洞就占据了漏洞总数的39%,2015年上半年影响资金安全的漏洞占43%,P2P资金风险呈现快速上升的趋势。
据专家介绍,密码重置环节是黑客利用较多的逻辑漏洞。一般密码重置都有输入用户名、验证身份、重置密码几个环节,由于验证身份一般都是通过发送4到6位的数字到用户手机或邮箱,相比破解用户本身的密码要容易得多,只要系统留出的验证码有效期时间足够长,黑客就可以利用计算机的高速运算能力猜解目标的口令密码,实现“爆破”,甚至还可以借助一些网站的系统漏洞直接修改数据,用自己的手机或邮箱代收用户验证码。
另据漏洞盒子发布的《2015上半年度金融行业互联网安全报告》显示,截至2014年底,已有近165家P2P平台由于黑客攻击,造成了系统瘫痪、数据被恶意篡改、资金被洗劫一空等灾难性后果。论坛透露,来自世界反黑客组织的较新通报,中国P2P已经成为全世界黑客宰割的羔羊,资金安全应当占据P2P行业安全的首要位置。然而,网络安全还没有被金融业、尤其是互联网金融业彻底地重视起来,互联网金融企业对黑客攻击和对发现的漏洞处置,重视程度普遍不够。
