就一加手機支付漏洞討論在線支付中的安全風險

新聞 02-13

背景介紹

近期，Fidus團隊的研究人員在OnePlus（一加手機）論壇上發現了一個非常有意思的

帖子。在這個帖子中，很多論壇用戶表示他們在2017年11月份曾在OnePlus官網上進行過信用卡消費，而隨後信用卡欺詐事件便發生在了這些用戶的身上，所以他們才在論壇中發帖詢問社區中是否有其他用戶遇到了同樣的問題（劇透：很多用戶都遇到了這個問題）。

值得一提的是，近期OnePlus使用了Magento電子商務平台，而這個常見的平台也是信用卡攻擊事件經常發生的地方。

但是，這些發現並不能證明OnePlus發生了數據泄露。因此，我們接下來一起看一看OnePlus當前所採用的支付流程以及系統結構，並分析一下為何用戶的信用卡信息會到攻擊者的手上。

事件分析-為何會發生這種事情？

我們對OnePlus網站的支付流程進行了一遍完整的檢查，有趣的是，網站的支付頁面所請求的客戶支付卡數據會直接存儲在網站中，這也就意味著用戶所輸入的全部支付信息都可以被攻擊者直接攔截。當支付表單提交之後，支付信息將會被發送到第三方提供商進行處理，但是在數據被加密之前，攻擊者可以通過在窗口中嵌入惡意代碼來竊取信用卡數據。

OnePlus則表示，他們不負責處理任何的支付卡信息，支付交易的處理是由CyberSource處理的，但是支付表單卻仍然託管在OnePlus的基礎設施中。如果攻擊者擁有該頁面的讀寫許可權，那麼他們就能夠向頁面中注入JavaScript代碼並嘗試從客戶端的支付表格中竊取鍵入的數據。

剖析支付流程

對於Magento電子商務平台來說，信用卡欺詐已經是「家常便飯「了，早在2015年，Sucuri就已經發文討論過這個問題了【文章鏈接】。

目前來說，攻擊者主要有兩種從電子商務平台中竊取信用卡數據的方法。第一種，就是利用JavaScript代碼直接從客戶端竊取。這種方法需要在Web頁面中託管惡意JavaScript代碼，而惡意代碼將會讓客戶設備在後台悄悄地給攻擊者控制的伺服器發送偽造請求。這樣一來，攻擊者就可以利用偽造的請求來發送用戶所有的信用卡數據了。我們對OnePlus的結算頁面源代碼進行了分析，但是並沒有發現任何的惡意JavaScript代碼，不過也有可能是攻擊者在完成攻擊之後將惡意代碼移除了。

另一種方法也是攻擊者常用的一種方法，根據Sucuri所發的文章，在實現這種攻擊時，攻擊者不僅需要修改app/code/core/Mage/Payment/Model/Method/Cc.php文件，而且還需要使用Shell訪問後台伺服器。

Cc.php文件負責在電子商務網站中存儲支付卡數據，其實無論支付卡數據是否成功存儲，伺服器都會調用這個文件。因此，攻擊者就可以在這個文件中注入惡意代碼，並遠程竊取信用卡信息。由於整個攻擊過程發生在Cc.php文件中的prepareSave()函數中，所以此時的信用卡數據還沒有被加密。惡意代碼樣本如下所示：