微信支付买东西「0元购」 平台SDK遭篡改伪装商家!

中国人民银行,央行,第三方支付,网联,银联,支付宝,微信(图/翻摄自央视财经

大陆中心综合报导

大陆网路上近日出现一个微信支付的技术漏洞攻击者可以自行窜改数据获得「0元购」特权,而这原因就是伪装成微信支付平台。对此,微信支付官方指出,该漏洞已修复,商家不必过度恐慌。

新华网报导,网路安全专家谢忱介绍,从当前的资讯来看,网路攻击者是利用了微信支付官方SDK(软件工具开发包)存在的漏洞,将自己伪装成微信支付平台,接着通过微信的漏洞伪造与商户的直接通信,在篡改微信支付的正常通信信息后达到目的

谢忱表示,正常的支付流程应该是由用户发起,经由微信支付平台到达商家,商家会有一个与微信支付确认结果过程,而网路攻击者就是利用相关漏洞骗过了商户。他认为,一些商家的安全防护水平较低,攻击者还可通过该漏洞获取商户的密钥等信息,再通过这个漏洞就可以实现「订单设置为0元」等操作,严重者还会导致该商户的消费者资讯等数据内容泄漏。

网路支付安全专家于迪则认为,接入微信支付的商户不必过度恐慌,该漏洞只存在微信支付Java版本的SDK中,并且电商的安全防护及权限设置较高,完整攻击行为还存在较大的局限性。他说,一般情况下,电商通常也会配备相应的对帐平台,该系统也会有一定的防护作用。

微信支付的安全团队则表示,微信支付技术安全团队已第一时间关注及排查有关问题,并对官方网站上的SDK漏洞进行了更新,修复了已知安全漏洞,同时微信支付团队提醒商户应及时更新相关安全资资料