印度的手机支付API接口安全风险解析



       自2017年至今,在印度政府的全力促进下,根据手机的支出程序运行已变成流行,2018根

据这种程序运行开展的买卖超出500亿美金。在其中很多程序运行应用印度政府引进的通用性系

统架构,称之为统一支付平台(UPI),但并未对适用汇钱的这一重要系统架构开展安全系数剖

析。
 
 
文中根据七个时兴的UPI程序运行对该协议书的设计方案开展了反向,进而对UPI协议书开展了

详细的安全系数剖析。发觉了UPI1.0标准中有要素身份认证设计方案级別的缺点,当与网络攻

击操纵的已安裝程序运行融合应用时,将会会造成 进攻。在进攻的最极端化版本号中,即便受

害人从没应用过UPI程序运行,这种系统漏洞也将会使受害人的银行帐号被关系并清除,潜在

性的进攻是可拓展的并能够远程控制开展。支出程序运行已变成印尼的流行支付手段,伴随着

印度政府在2017年将巨额钞票货币化以后,印度政府积极主动激励其中国公民应用移动支付方

法。以便规模性完成数据小额贷款支出,印尼国家银行委员会印度国家第三方支付公司(NPC

I)引进了统一支付平台(UPI),以完成不一样客户的银行帐号中间的完全免费和及时转帐。

截止今年7月,UPI买卖的使用价值已做到约210亿美金。UPI的敞开式后端开发系统架构可轻

轻松松完成新支出程序运行的集成化和互用,这是一个关键的驱动力。当今,大概有88个UPI

支出程序运行和140好几个金融机构能够根据UPI与这种程序运行开展买卖,文中侧重于UPI设计

方案中的系统漏洞及其支付运用对UPI的应用状况。
 
 
以前早已对包含印尼支出程序运行以内的支出程序运行的剖析中发觉了系统漏洞,而且发觉印

尼挪动银行业务存有PIN修补系统漏洞。可是,在这种科学研究中,挪动程序运行沒有共享资

源通用性的支付平台,之前并未对好几个支出程序运行应用的通用性插口开展剖析。开展那样

的剖析十分关键,由于在其中的网络安全问题将会会危害好几个金融机构和好几个程序运行的

顾客,而与应用的别的更强的安全性作用不相干,文中致力于很多印尼支出程序运行应用的统

一支付平台的安全系数剖析以及设计方案挑选。
 
 
1.给出客户的手机号,没经受权申请注册:此进攻会泄露个人数据信息,比如客户有着银行帐

号的金融机构集和银行账号。

 
 
2.依据客户的手机号码和一部分储蓄卡银行卡账号,在银行帐号上开展没经受权的买卖:在印

尼应用储蓄卡买东西(不论是在店铺内還是网上购物)都规定客户根据键入密秘PIN来受权支

付。在这类进攻中,网络攻击能够根据了解客户的手机号码和复印在卡上的储蓄卡信息内容(

最终六位数据和合理时间,没有PIN)来对从没应用过UPI的客户的银行帐号开展买卖支付应

用程序。

 
 
3,沒有储蓄卡银行卡账号的没经受权的买卖:这类进攻说明,不清楚客户身份认证要素的网

络攻击怎样学习全部要素以对该客户的银行帐号开展没经受权的买卖。
分享:

相关推荐