登录/注册

QQ

微博

首页 文章 不要钱就能免费买买买?微信支付出现严重漏洞!

不要钱就能免费买买买?微信支付出现严重漏洞!

文章来源:http://9.cn/

微信支付移动支付

2018-07-05

5122

近日,有网友在国外安全社区发文称,微信支付官方 SDK存在的严重漏洞,此漏洞可导致商家服务器被入侵。一旦攻击者获得商家的关键安全密钥(md5-key 和 merchant-Id 等),就可以通过发送伪造信息来欺骗商家,无需付费就能购买任何东西。


这位网友为了证实自己发布信息的真实性,还特意晒了两张图。两张图分别为vivo和陌陌利用漏洞的过程。

陌陌、vivo微信支付漏洞利用过程

看不懂没关系,为了方便小伙伴理解,举了个小例子:


这个过程叫「商户回调接口」,而这个漏洞可以让微信支付产生「人家付款成功了」的错觉,从而让黑客实现0元购。


而此事对普通消费者最直接的影响是:商家后台的用户信息已被暴露,而黑客拿到这些信息可以去暗网上兜售。


目前,陌陌和 vivo 已经修复了相关的漏洞。腾讯方面随后也表示进行了修复。但业内人士提醒,尽管官方修复了该漏洞,但是由于微信支付的 SDK 不具备自动更新机制,需要商户自行更新。所以目前仍有大量微信商户或受到影响,甚至造成损失。


此前微信也曾出现漏洞,而且是竞争对手支付宝发现的。


今年2月底,阿里安全猎户座实验室和潘多拉实验室发现微信存在漏洞后,第一时间上报到了国家相关部门,并且通知了微信团队。


据介绍,这个漏洞可以让用户的微信在完全无感知的情况下被攻击者克隆账户,包括聊天记录等信息会全部同步到攻击者的手机上,从而导致用户的微信账号信息泄露,其中包括微信支付也能被克隆。


在漏洞修复后,微信团队曾向阿里的安全团队表示感谢。


在另一大支付平台上,也曾出现过漏洞问题。去年1月,爆料称,支付宝存在安全风险:只要知道支付宝账号、近期购买过的商品、和支付宝好友,就有一定几率能登录他人的支付宝账号。随后,支付宝方面表示已经提高安全等级。


评论

关注我们 发布

发布小程序

文章投稿

提交

下载

手机访问

扫一扫体验小程序