Dikkatli ol! UnionPay QuickPass'in kırmızı zarf bağlantısı cep telefonu numaranızı ortaya çıkaracaktır
Son yıllarda, mobil ödeme, ödeme, varlık yönetimi ve mikrofinans alanlarında büyük gelişme beklentileri göstermiş ve devleri birbiri ardına pazara girmeye çekmiştir. En başından itibaren Alipay ve WeChatin çeşitli tercihli savaşları başladı ve ardından JD Pay, Meituan Pay ve Suning Pay, mobil ödemelere girmek için ana faaliyetlerine ve işlem senaryolarına güveniyor. Son zamanlarda, Leifeng.com daha güçlü bir rakip "bulut flash ödeme" nin geldiğini keşfetti.
Merkez bankası tarafından yönetilen bir platform olan UnionPay'in onayına ve büyük ticari bankaların desteğine sahiptir Kısacası, JD Meituan Pay gibi geç kalanlara kıyasla, "Cloud QuickPass" daha çok altın anahtarla doğan bir çocuk gibidir. Haberlerden doğduğunda savaşı hissedebilirsiniz
11 Aralık 2017'de, Çin Halk Bankası, China UnionPay'in rehberliğinde, büyük ticari bankalar, ödeme kurumları ve diğer sektör ortaklarıyla birlikte, kendi mobil ödeme portalını - birleşik bankacılık uygulaması "Cloud QuickPass" ı ortaklaşa yayınladı. Alibaba ve Tencent gibi internet devleri ile birlikte mobil ödeme pazarını ele geçirmek için.
Fan Yifei, Çin Halk Bankası Başkan Yardımcısı, Çin Demiryolları Şirketi Baş Muhasebecisi Yu Bangli, China UnionPay Başkanı Shi Wenchao, 17 ulusal ticari banka başkanı, 14 bölgesel banka başkanı, Çin Halk Bankası, Ödeme ve Takas Derneği ve banka dışı Ödeme kurumlarının temsilcileri, cep telefonu üreticileri ve kooperatif tüccarları "Cloud QuickPass" Uygulama platformu olarak lansman törenine katıldı.
Arka plan sadece çok zor olmakla kalmıyor, "Cloud QuickPass" kullanıcı kazanma konusunda da çok cömert davranıyor. WeChat Pay'in kullanıcıları kazanmak için ilk çıkış yaptığı Bahar Festivali sırasında "kırmızı zarf savaşını" kullanmasına benzer. "Cloud QuickPass" da istedi Kullanıcıları çekmek için kırmızı zarflar kullanın , ne kadar olursa olsun, 2018 $ değerinde binlerce kırmızı zarf olmalı.
Geleneksel finans kurumlarının onaylanmasıyla, kullanıcıların güvenlik açısından "Bulut QuickPass" in daha kolay güvenmesi gerektiği mantıklıdır. Ancak, kısa süre önce ortaya çıkan bulut QuickPass, güvenlik sorunlarını ortaya çıkardı: İnternetteki profesyonel ve teknik bir kişi, "Bulut QuickPass" kırmızı zarf paylaşım bağlantısının telefon numarasını geri yükleyebileceğini gördü.
8 Şubat'ta "Cloud QuickPass" resmi Weibo, bu güvenlik sorunu hakkında acil bir açıklama yaptı:
Doğrulamanın ardından, arka plandaki programcı birkaç yanıt verdi.
1. Bu etkinliğin asıl amacı, akraba ve arkadaşları kırmızı zarf almaya davet etmekti. Başlatıcının cep telefonu numarası için genel base64 kodlaması benimsenmiştir. Hatırlattıktan sonra, şifreleme algoritması seviyesinin bu sefer gerçekten düşük olduğu bulundu. Bu duruma cevaben, tam onarımlar yapmak için teknik ekipler oluşturuyoruz.Şu anda teknik geliştirme tamamlandı ve acil durum testlerinden geçiyor.Yeni versiyonun bugün online olduktan sonra yürürlüğe girmesi bekleniyor.
2. Bu etkinlik sırasında, bazı kullanıcıların çok hevesli olduğu ve forumlar gibi halka açık kanallarda aktif olarak davet başlattıkları görüldü. Bu nedenle, davet eden kişinin bilgileri kapsamında belirli teknik yeteneklere sahip tanıdık olmayan netizenler, cep telefonu numaralarını teknik yollarla çözebilirler. . Ancak, bağlantının kendisi teknik işlem yapılmadan doğrudan geri yüklenemez.
3. Şifresi çözülen içerik sadece davet edenin cep telefonu numarasıdır ve diğer unsurlarla eşleştirilemez.Diğer bilgiler ve davetlinin bilgileri güvenlidir.
Kırmızı zarf gönderdiğimizde kırmızı zarfın bir bağlantı olduğunu herkes bilir İfadedeki "evrensel base64 kodlaması" nedir? Sonuçları nelerdir? Bu sorun hala var mı?
Base64, kod çözme için nispeten basit ve evrensel bir kodlama yöntemidir.Bunun için birçok kod çözme aracı vardır ve şu anda birçok çevrimiçi kod çözme web sitesi vardır.
TopImage'daki güvenlik uzmanlarına göre, bir kullanıcının bağlantısının kodu çözülürse, Siyah üretilen personelin cep telefonu numaralarını elde etmesi, telekomünikasyon dolandırıcılığı için Cloud QuickPass yetkilisi gibi davranması, kullanıcılara metin mesajları göndermek için yetkili gibi davranması ve hatta sahte Cloud QuickPass uygulamalarını çalıştırması da mümkündür.
Genel olarak, kullanıcıların özel bilgileriyle etkileşimde bulunurken, bunlar bağlantılara yerleştirilmemelidir. Bunun yerine, kimlikler ve rastgele dizeler gibi numaralandırılamayan ve yinelemeli etiketler aracılığıyla arka uç kullanıcılara karşılık gelmelidir. Bu, ilgili geliştiricilerin güvenlik farkındalığıdır. Eksiklik neden oldu.
Mevcut kırmızı zarf bağlantısında hala bu sorun var mı? Leifeng.com bir "Bulut QuickPass" uygulaması kaydettirdi, sağdaki yeşil kutudaki kırmızı zarfı tıklayın ve WeChat'te Dingxiang Teknolojisinin güvenlik uzmanlarıyla paylaşın.
Güvenlik uzmanlarının testine göre, artık base64 kodlaması değil, MD5 şifrelemesine değiştirildi (bu, verileri sabit bir uzunlukta hesaplayan bilgisayarlar tarafından yaygın olarak kullanılan karma algoritmalardan biridir). Bununla birlikte, Leifeng.com daha önce MD5'in de tersine çevrilebilir şekilde kırılabileceğini bildirdi, bu nedenle% 100 güvenli olduğu söylenemez.
Benzer sorunların tekrar etmesini nasıl önleyebilirim? Güvenlik uzmanları şunları tavsiye ediyor:
Her şeyden önce, mevcut mantıksız mantığı ve kodlama tasarımını değiştirin: örneğin, bağlantıdaki özel bilgilerin doğrulama kaydını ortadan kaldırmak ve veri aktarımını şifrelemek.
İkinci olarak, Uygulama bağlantısının (http arayüzü, bağlantı) kod güvenliğini sağlamak ve kodunun çözülmesini ve tersine kırılmasını önlemek için bulut QuickPass Uygulamasında ilgili güvenlik SDK'sını dağıtın.
