微信、支付寶都出瞭大新聞,鬥地主還差一個你 | 宅客周刊

援交
外送茶
魚訊
外約
外送茶
都快過農歷新年瞭,誰傢都怕出幺蛾子,有的是大新聞,有的卻害怕大新聞。
不信,你看——本周關鍵詞▼小程序發佈 | 支付寶漏洞 | 剪刀手拍照指紋泄密 | 瀏覽器自動填充漏洞
社交網站賬號密碼
一、小程序的發佈與擔憂1月9日,很多人的朋友圈被小程序刷屏瞭……一邊是張小龍發在朋友圈野心勃勃地向喬佈斯致敬,一邊是吃瓜群眾把小程序玩得不亦樂乎。雷鋒網同時也搜集到一波體驗(吐)感受(槽)。小程序有這些槽點:小程序找起來還是很困難;微信小程序加載耗費流量,加劇微信耗費的內存,所以整體對內存的占用並不比原生APP低;雖然微信小程序重新構建瞭架構,不再采用H5的架構,提升瞭加載速度,但總體加載速度依然低於原生 App,影響用戶體驗。雷鋒網宅客頻道本著看熱鬧不怕事大的原則,決定探尋一個重要的問題:黑客有沒有可能通過微信小程序的漏洞,偷偷地用你的微信給他發一個大紅包?為瞭搞清這個問題,雷鋒網(公眾號:雷鋒網)宅客頻道咨詢瞭幾位黑客大牛,整理回答如下:小程序改變瞭業務前端實現的形式,但是基本的業務沒有變化。所以對於小程序服務商而言,有兩方面風險依然存在:Web接口的漏洞。例如 xss、csrf、各類越權等等。這類是服務構架本身的漏洞。業務功能的邏輯漏洞。例如:訂單額任意修改,驗證碼回傳、找回密碼設計缺陷等等。這些也是後端服務本身的漏洞。傳統的 App 客戶端,由於代碼比較復雜,體系比較大,經常存在很多漏洞。現在,由微信提供接口,服務商隻需要調用微信的接口就可以實現服務功能。這使得以前針對 App 客戶端的攻擊行為失去瞭對象。小程序跑在微信中,以前人們關心 App 客戶端手否存在漏洞,現在人們需要關心微信是否安全瞭。由於微信主程序會通過 JS 接口向小程序暴露規定的服務。如果小程序可以獲取到規定服務外的信息(比如:用戶的錢餘額等)即是信息泄露。總之,可以將微信理解成瀏覽器,將小程序理解成網頁。如果執行小程序可以在微信中執行任意代碼,就是傳統意義上的遠程代碼執行。例如:攻擊微信;實現小程序之間的跨站攻擊;攻擊操作系統。所以,我們需要擔心黑客通過微信小程序盜走我的紅包嗎?目前看來,沒這個必要。根據以往的經驗,騰訊在自身產品的安全性上,會投入巨大的精力。而對於皇冠級產品微信,相信騰訊更是不敢有絲毫疏漏。就在小程序退出的當天,TSRC(騰訊安全應急響應中心)也發佈瞭英雄帖《微信小程序如約而至,安全需要你的守護》,宣佈即日起到2017年1月20日,“重金”收集有關微信小程序的漏洞和威脅情報。二、支付寶曝漏洞,熟人可以改密碼雷鋒網編輯在上班路上忽然收到瞭一條支付寶驗證碼的短信,察覺到異常後立刻打開瞭支付寶客戶端,結果被嚇出瞭冷汗:他發現自己的支付寶賬號竟正被別人登錄,隨即他收到一條朋友發來的微信消息:

我剛才用網上流傳的“支付寶致命漏洞”來重置你的登錄密碼,竟然成功瞭!你還不知道嗎?朋友圈都傳開啦!

支付寶漏洞?雷鋒網編輯隨即打開朋友圈,發現已經有很多網絡安全圈內的朋友都轉瞭一條名為“支付寶驚現致命漏洞,快解綁你的銀行卡”的報道。報道中稱,有網友發現支付寶在登錄方式上存在致命的邏輯漏洞,導致熟人之間可以相互登錄對方的支付寶賬號,流程大致如下:

進入「忘記密碼」界面後,選擇「無法接受短信」,這時候會出現兩個相關問題:一、在9張圖片當中找出你認識的人 ;二、選擇與您有關的地址。

隻要成功答對這兩道問題,就可以重置該支付寶賬號的密碼,並且在登錄後可以正常使用免支付密碼的快捷支付功能,直接使用對方支付寶中的資金。很快,隨著該消息在朋友圈內的傳播,越來越多的人表示自己收到支付寶登錄驗證短信,以及相關的賬號異常提醒。許多人開始用身邊朋友的支付寶賬號來嘗試復現該漏洞。有人表示,周圍已經有不下十人成功登錄瞭身邊朋友的支付寶賬號,甚至有網絡安全高手也中招瞭,由此他判斷此次問題可能非常嚴重。雷鋒網編輯在對周圍朋友的支付寶賬號進行瞭大約7~8 次嘗試後,成功重置瞭自己女朋友的支付寶密碼,這是在雙方十分瞭解,知道對方認識的人、購物記錄和傢庭住址等情況的前提下實現的。雖然結果確實令人驚訝,但成功率並沒有網上說的那麼誇張——“陌生人有五分之一的機會登錄你支付寶,熟人有百分之百的機會登錄你的支付寶”。在測試中我們發現,兩個測試題會隨機出現“你認識的人”、“和你相關的地址”、“你曾經買過的東西”等不同的問題,隻要答錯一兩次,該種方式就會被屏蔽,隻允許使用其他方式找回密碼,並且其他的方式也會在嘗試失敗後逐漸被屏蔽,這似乎觸發瞭支付寶的某種安全機制。在多次試驗後,雷鋒網編輯發現自己無論使用誰的支付寶賬號,都無法再使用之前那種通過相關信息來重置密碼的方式。至上午10點左右,周圍不少在測試該漏洞的朋友也表示自己測試失敗,隻有在自己的常用設備下才能觸發相關消息找回。有安全從業者表示:“支付寶響應很快,據說目前已經對風控進行瞭調整。”三、剪刀手拍照會被盜指紋?表示不相信!據人民網消息,日本國立信息學研究所教授越前功(Isao Echizen)日前在接受日本新聞網( NNN)采訪時指出,如果拍照時,光線明亮,恰巧焦點對準指紋,就可以通過照片復原其指紋信息。如果由此制作出人工手指“義指”,便可冒充本人登錄各種指紋識別的終端,因此拍照時要慎用“剪刀手”。

越前功在實驗中采用的照片是由市面銷售的2040 萬像素數碼相機所拍攝,對該照片進行圖像處理後,得到瞭指紋數據。距離鏡頭1.5米拍攝的照片,指紋可以清晰地呈現出來,距離 3 米處則可以判斷出大致模樣。因此越前功表示,距離3米處拍攝的照片存在被盜取指紋的可能性,並且“技術方面門檻並不高,誰都可以輕松處理”。

看到此消息,雷鋒網(公眾號:雷鋒網)編輯嚇得把鏡頭前的小手趕緊縮瞭回來。不過,卻有專傢持不同意見。360公司安全研究人員魏黨偉告訴雷鋒網,指紋信息作為個人生物信息的一部分被廣泛的用在各種身份識別和認證,其核心點是采集清晰的指紋信息,用於生成特征點。隻有可以提取準確特征點的照片,才會泄漏指紋信息。也就是說,隻有拍攝照片中,手指紋理清晰可見,才會泄漏指紋信息。那麼,具體是什麼范圍內“剪刀手”就會出賣你的“指紋”?同理,虹膜信息會不會也被捕捉到?魏黨偉說,目前手機拍照技術,在正常的拍攝距離(大於1米)的范圍下,是不可能把手指紋理拍攝清楚的,就更不要說虹膜瞭。這也是正常的指紋和虹膜采集,必須要在很近的距離,嚴格限定的方位和特定光亮度下采集。同時,目前的網絡傳播,都會降低照片的清晰度,損失的照片的細節,就更不可能泄漏指紋信息瞭。但魏黨偉也提到,現代的單反相機和高檔手機,在微距拍攝(小於0.5米)是有機會拍攝清楚指紋的,所以不要在公開網路上傳播有指紋和虹膜的微距拍攝照片原始文件。雷鋒網(公眾號:雷鋒網)從公開信息中檢索到,為防止指紋被盜,目前該研究所已開發出一種有特殊花紋的透明薄膜,除能隱藏指紋外,該薄膜還能夠在不影響指紋解鎖的同時,在拍照時將你的指紋偽裝成別的指紋。該研究所研發的透明薄膜是僅為研究性產物還是準備商用的產品?是否有為技術或產品推廣之嫌?日本該研究所除瞭用市面銷售的2040 萬像素數碼相機在上面所稱的3米和1.5米范圍內拍攝,是否還用瞭其它復雜的技術來破解指紋信息?一切尚未可知。四、瀏覽器自動填充被曝漏洞最近一個芬蘭的網頁開發者和黑客Viljami Kuosmanen發現瞭一個自動填寫表單功能重大的潛在安全漏洞,他表示諸如 Chrome、Safari 和 Opera 等瀏覽器,或是LastPass這樣帶自動填充功能的瀏覽器插件,都可能會泄露用戶的隱私。一般來說,在使用自動填充功能之前,用戶需要提前把需要自動填充的個人信息存儲在瀏覽器或者工具中,以 Chrome 瀏覽器為例:其自動填寫的信息包括郵編、詳細地址、組織(公司)、用戶名、電話、和電子郵件等,通常可用來快速填寫收貨地址。再以自動登錄工具 Lastpass 為例,它提供瞭更為詳細的資料填寫項目,幾乎可以幫你自動填寫能想到的所有資料,包括除瞭基礎的用戶名、姓名、生日、社會保險號碼(身份證號),還有詳細地址、聯系人、銀行賬戶等等。
然而這些Viljami 發現,通過極其簡單的手段將一些文本輸入框隱藏起來,就可以在你不知情的情況下,得到你表單中的所有個人資料。為瞭實際展示該功能,Viljami 做瞭一個簡單的演示 Demo 網站,看起來,網頁上隻要求輸入姓名和郵箱,但是按提交鍵後,通過瀏覽器抓取信息顯示,除瞭頁面上能看到的兩項信息以外,用戶的電話、地址等信息也被上傳瞭。
【圖片來自:Viljami 提供的演示 demo】雷鋒網(公眾號:雷鋒網)宅客頻道按照這種思路繪制瞭一個釣魚網站騙取用戶信息的示意圖如下:

釣魚網站會將一些用戶電話、地址等信息的輸入框隱藏起來,雖然用戶的肉眼看不到,但是自動填寫程序能捕捉到,並在用戶不知情的情況下“幫” 用戶把信息填進去。據雷鋒網瞭解,喜歡海淘的人經常需要填寫如信用卡卡號、有效日期和安全碼等信息,此外,人們在參加“特價秒殺”等搶購活動時也需要爭分多秒地填寫表單,這時許多人會 選擇將住址、電話等資料保存在瀏覽器或插件中,以便自動填充。一旦用戶在釣魚網站使用瞭自動填充功能,就很可能會泄露自己的詳細地址、信用卡號、安全碼等信息。問題的發現者 Viljami 表示:“該問題在 Chromium 內核中存在6年之久,這就是我不愛用自動填寫表單的原因。”他還表示 Mozilla 的 Firefox 火狐瀏覽器並沒有此類問題,因為它隻支持自動填寫單個文本框而不支持一鍵填寫整個表單,用戶需要逐個點擊輸入框,因此那些隱藏起來的文本輸入框就是去瞭作用。五、如何用技術知道另一半的社交賬號密碼周末瞭,來輕松一下。蕾蕾一直沒有想明白,身高1米8,又帥又體貼的峰峰為什麼看上瞭自己?要知道,峰峰的前女友可是身材高挑、膚白貌美的小美女。最近,蕾蕾從峰峰身後路過時,“一不小心”看到瞭峰峰在聊天,而“小美女”的頭像一直在跳動。蕾蕾沒有問峰峰,但如晴空霹靂,又百爪撓心,想知道男票究竟和前女友說瞭啥。一不做、二不休,蕾蕾想,要不幹脆找到男朋友的社交帳號密碼,也好時時關註“敵情”。怎樣才能神不知鬼不覺地拿到男朋友的社交帳號密碼?第一招:社工例如:1.“最近聽說某某網站放出一個密碼設置最容易破解排行榜,辦公室的小黃今天在那一驗證,發現果然是這樣,他的密碼就是名字+生日,你說傻不傻?”然後觀察男朋友的神情,是比較輕松愉快還是尷尬,甚至說:“慘瞭,我也是這樣。”2.時不時在談話中“套路”一下,比如在聊人生時,讓他聊聊記憶深刻的事情、最喜歡的寵物、最愛的人(十有八九會被反套路,此刻要問那第二愛的人之類)、遊戲昵稱帳號……3.如果他給過你其他密碼,可以研究一下密碼的規律,套用在新密碼上。第二招:查庫現在數據泄露不少,最好的情況是能直接查出密碼;另外,不少人有使用通用密碼的習慣,這樣的話也相當於直接查出密碼瞭;通過大量的數據,也有比較大的幾率看出這個人的密碼習慣,增加猜解密碼的習慣。至於怎麼查庫,用搜索引擎搜索“社工庫”就行瞭。然而,這種集成的社工庫“稂莠不齊”,像“700元買到同事全套信息”這種庫還算“良心”,有些社工庫會誘使你付費,你查詢的信息也會進一步與已泄露信息綁定。當然,目的是查男朋友的賬號和密碼,幾百塊錢可能不算什麼……第三招:利用社交網站漏洞獲取密碼比如,XSS呀,註入呀,安全網站上這些案例很多,當然公開的漏洞都是已經修復的,不過你可以學到方法自己去研究噠。這一招需要一定的編程基礎,是的,現如今,不會寫代碼可能連密碼都找不著。簡單來說,就是你瞅準瞭一個社交網站,
通過各種掃描工具或者人工輸入來找到它的 XSS 漏洞,然後精心構造攻擊字符串;把這個字符串作為漏洞網站文本編輯框的表單值輸入提交,就會造成攻擊。手工輸入這個字符串,並提交,瀏覽器地址欄自動生成攻擊URL;做成誘人的鏈接,讓男朋友點擊。第四招:找到瀏覽器已保存密碼為瞭登陸方便,現在不少瀏覽器有保存登陸密碼的功能哦,怎麼查看?搜索“查看+瀏覽器名稱+已保存密碼”,然後根據網上的方法一步一步操作就行瞭。前提是,男朋友設置瞭保存密碼,而且,你需要在男朋友不在傢時,在他的電腦上偷偷操作。但是,講真,你有男朋友的開機密碼嗎?如果你都能用他的電腦,似乎去找他的密碼就沒什麼必要瞭,除非你想長線操作,長期監督。第五招:放一個鍵盤記錄器實在不行寫個鍵盤記錄器放他電腦上運行呀,輸入瞭什麼全部發送到你郵箱。萬萬沒想到,放一個鍵盤記錄器在男朋友電腦上,原來是最難的——如果你能打開他的電腦,直接安裝除外。第六招:釣魚本來釣魚也應該是屬於社工的,但是上面講的社工主要就是一些面對面的心理戰術瞭。“上次一起出去玩的照片已經整理出來啦,“去看看吧。http://XXX.cn”這樣的消息收到過沒?點開鏈接發現是某空間要求輸入賬號和密碼的地方,嗯,和正版一模一樣哦,可是你看看鏈接啊,鏈接不對啊喂,這就是釣魚咯。首先,你需要做一個和正版一模一樣的釣魚網站,當然,這個社交網站可能在網上有源代碼可以抄。然後,需要購買一套釣魚工具。第七招:編寫一個美美的木馬程序發過去知乎上也曾有一個高票答案值得借鑒,編寫一個玫瑰花的示愛程序,植入木馬,直接發給男朋友即可。上述技術支持均為京東安全工程師肉肉口述,雷鋒網編輯采寫。但是,僅為技術理論探討,肉肉本人並不支持這些做法。為瞭保護另一半的權益,肉肉與雷鋒網編輯建議如下:

1.不在瀏覽器保存常用密碼;2.不同網站設置不同密碼,尤其密碼設置不要按照常用套路走;3.不隨便點擊鏈接,即使是對象發過來的,有技術基礎的童鞋,可以技術反制,當然後果自行承擔,比如,被罵、被分手……雷鋒網(公眾號:雷鋒網)概不負責。

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。

source:https://www.leiphone.com/news/201701/BGRxQhl9GY4PboiA.html