微信支付安全漏洞被修复,支付宝也曾中招
来源:36氪
2018-07-05 08:41
针对近日被网友爆出的微信支付安全漏洞问题,腾讯方面回复36氪称,微信支付技术安全团队已第一时间关注及排查,并于昨日中午对官方网站上该SDK漏洞进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。
腾讯方面还表示,请大家放心使用微信支付。不过,虽然微信支付安全漏洞已经被修复,但大家关注的热度依旧高涨。查看百度热搜指数发现,微信支付被爆漏洞这一话题依旧高居榜首。据36氪推测,大多数人可能并不关注怎么修复安全漏洞,而是较为关心对个体产的影响。
来自百度风云榜-实时热点
从昨日网友的爆料来看,确实容易引起用户的担忧。
上述网友在国外安全社区公布了微信支付官方SDK(软件工具开发包)存在的严重漏洞,并表示此漏洞可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。
与此同时,该网友还公布了陌陌和vivo的微信支付漏洞被利用过程的截图。截图显示,只要黑客利用了这些漏洞,就可以0元买买买,甚至可以倒卖用户信息。以此来看,用户持续关注不无道理。
陌陌的微信支付漏洞利用过程
vivo的微信支付漏洞利用过程
网络安全专家谢忱接受新华社采访时介绍,从当前被公开的漏洞信息来看,网络攻击者是利用了微信支付官方SDK(软件工具开发包)存在的漏洞,将自己伪装成“微信支付平台”,继而通过微信的漏洞伪造与商户的直接通信,在篡改微信支付的正常通信信息后达到“偷梁换柱”的目的。
另外,网络支付安全专家于迪则认为,接入微信支付的商户不必过度恐慌。于迪表示,该漏洞只存在于微信支付Java版本的SDK中,并且电商的安全防护及权限设置较高,完整攻击行为还存在较大的局限性。一般情况下,电商通常也会配备相应的对账平台,该系统也会有一定的防护作用。
至于为何会出现该漏洞,怎么修复的,会产生什么影响,以及后续该怎么防范,这一系列问题36氪还在等待微信支付的回复。
此前微信也曾出现漏洞,而且是竞争对手支付宝发现的。
今年2月底,阿里安全猎户座实验室和潘多拉实验室发现微信存在漏洞后,第一时间上报到了国家相关部门,并且通知了微信团队。
据介绍,这个漏洞可以让用户的微信在完全无感知的情况下被攻击者克隆账户,包括聊天记录等信息会全部同步到攻击者的手机上,从而导致用户的微信账号信息泄露,其中包括微信支付也能被克隆。
在漏洞修复后,微信团队曾向阿里的安全团队表示感谢。
在另一大支付平台上,也曾出现过漏洞问题。去年1月,网友爆料称,支付宝存在安全风险:只要知道支付宝账号、近期购买过的商品、和支付宝好友,就有一定几率能登录他人的支付宝账号。随后,支付宝方面表示已经提高安全等级。
根据益普索发布的《2018上半年第三方移动支付用户研究报告》,移动支付用户规模约为8.9亿。其中,财付通用户8.2亿,支付宝用户6.5亿,财付通和支付宝的用户渗透率分别为85.4%和68.7%。