微信支付買東西「0元購」 平臺SDK遭篡改僞裝商家!
▲中國人民銀行,央行,第三方支付,網聯,銀聯,支付寶,微信(圖/翻攝自央視財經)
大陸網路上近日出現一個微信支付的技術漏洞,攻擊者可以自行竄改數據獲得「0元購」特權,而這原因就是僞裝成微信支付平臺。對此,微信支付官方指出,該漏洞已修復,商家不必過度恐慌。
據新華網報導,網路安全專家謝忱介紹,從當前的資訊來看,網路攻擊者是利用了微信支付官方SDK(軟件工具開發包)存在的漏洞,將自己僞裝成微信支付平臺,接着通過微信的漏洞僞造與商戶的直接通信,在篡改微信支付的正常通信信息後達到目的。
謝忱表示,正常的支付流程應該是由用戶發起,經由微信支付平臺到達商家,商家會有一個與微信支付確認結果的過程,而網路攻擊者就是利用相關漏洞騙過了商戶。他認爲,一些商家的安全防護水平較低,攻擊者還可通過該漏洞獲取商戶的密鑰等信息,再通過這個漏洞就可以實現「訂單設置爲0元」等操作,嚴重者還會導致該商戶的消費者資訊等數據內容泄漏。
網路支付安全專家於迪則認爲,接入微信支付的商戶不必過度恐慌,該漏洞只存在微信支付Java版本的SDK中,並且電商的安全防護及權限設置較高,完整攻擊行爲還存在較大的侷限性。他說,一般情況下,電商通常也會配備相應的對帳平臺,該系統也會有一定的防護作用。
微信支付的安全團隊則表示,微信支付技術安全團隊已第一時間關注及排查有關問題,並對官方網站上的SDK漏洞進行了更新,修復了已知安全漏洞,同時微信支付團隊提醒商戶應及時更新相關安全資資料。