近日看到傳媒報導,關於美國愛達荷州懲教處,一班囚犯利用平板電腦的保安漏洞,364名囚犯集體騙取合共22.5萬元,並轉帳到他們的的帳戶當中。這次事件媒體都只有簡短的報導,至於囚犯利用甚麼技術則沒有提及。在好奇心的驅使下,我嘗試在網上搜尋資料,希望可以了解這次事件,到底囚犯是用了甚麼方法去騙取金錢呢?
翻查資料,其實早在數年前,美國就已經開始向囚犯提供平板電腦的服務。而這項計劃是由一間名為 JPay 的公司營運的。JPay 的服務主要是為美國的監獄提供型號 JP5mini 的平板電腦。JP5mini 是採用安卓系統 Android,而 JPay 以售價約 70 美元一台賣給獄中囚犯,為他們提供娛樂。其實 JPay 一直都因收費過高而招致大量批評,因為囚犯購買 JP5mini 之後,要下載應用程式或遊戲,還需要額外付費的。囚犯的家人需要利用 JPay 網站的 Send Money 功能,為獄中的使用者帳戶充值,囚犯收到充值金額後,就可以下載自己所需的應用程式。
那麼這次囚犯是利用甚麼方法騙取金錢的呢?首先 JP5 平板電腦是不能直接連到互聯網的。用戶需要利用獄中的無線網絡,再利用 JPay 的 App Manager 下載軟件或歌曲作離線使用。在程式開發設計時,考慮到大多數時間用戶都是離線操作,因此大部份資料,例如 App 的購買目錄、售價、甚至是囚犯的帳戶資料及結餘金額,都是直接記錄在平板電腦本機的資料庫中。
大家試想一下,假如你利用手機存取網上銀行服務,而你的帳戶結餘,是記錄在你的手機,而不是在銀行的資料庫中,只要你能破解手機內的資料,你就能隨意增加帳戶結餘,變成億萬富翁並非難事。而這次囚犯就是利用這原理,破解並修改了本機內的帳戶結餘,之後他們就可以瘋狂購買歌曲及遊戲了。幸好,這次漏動只限於修改結餘來下載應用,犯人不能將修改的金錢匯出到其他地方去,否則 JPay 這次損失就會更大了。
開發手機應用程式,為了提升效能及離線支援,將部份資料暫存到手機的數據庫是很普遍的事情。但是在交易時,必定會有機制去核實線上伺服器的資料,是否跟你提供的資料敏合,例如核對 App 的售價,以及用戶結餘等。只要有不符合的地方,就馬上封鎖帳戶。JPay 作為監獄的平板電腦供應商,卻犯了這種錯誤,實在有必要認真檢討一下。
喜歡電腦科技、遊戲、攝影、音樂。過往曾經從事攝影工作及撰寫專欄文章。近年回歸IT行業,努力學習中, 志願協助於開源社群及IT技術分享的工作。