文 | 一帆
今日,白帽匯NOSEC安全訊息平臺發佈報告,發現某國外安全社區公佈了微信支付官方SDK存在的嚴重漏洞,該漏洞可導致商家服務器被繞過支付。
微信在JAVA版本的SDK中提供callback回調功能,用來幫助商家接收異步付款結果,該接口接受XML格式的數據,攻擊者可以構造惡意的回調數據(XML格式)來竊取商家服務器上的任何信息。一旦攻擊者獲得了關鍵支付的安全密鑰(md5-key和商家信息,將可以直接實現0元支付購買任何商品)
根據白帽匯NOSEC安全訊息平臺提供的網站鏈接:http://seclists.org/fulldisclosure/2018/Jul/3,安在登錄了名為SECLISTS.ORG的國外安全社區,發現這則漏洞由名為Rose Jackcode的用戶於7月1日公佈。
該用戶在報告中詳細披露的漏洞的具體信息以及攻擊方式,根據已公開利用細節可以確認,陌陌和VIVO因使用該SDK而存在該漏洞。
由於微信支付當前被廣泛應用於各種支付場景,所以此漏洞影響範圍非常廣,主要波及應用微信支付的各大商家,危害及可能產生的隱患非常之多。在漏洞細節被披露之後,安在第一時間聯繫到了白帽匯負責人趙武。
趙武表示,此次漏洞背後可能存在很多貓膩。首先,該漏洞的曝光方式並不正常:這位名為Rose Jackcode的技術人員並沒有和微信官方工作人員展開直接的溝通,而是在安全平臺直接將漏洞細節、攻擊方式,甚至對遭受該漏洞影響的廠商名單進行了公開。
其次,白帽匯安全研究院在調查中發現,該漏洞報告中所使用的頓號均為中文全角的符號,存在漏洞報告者Rose Jackcode真實身份為中國人的可能。
根據這兩個情況,有業內人士猜測,不排除兩種可能性:一是競爭對手對微信的直接打擊;另一種則是由於黑客在攻擊的過程中發現不能清除痕跡,所以公開了漏洞細節和攻擊方式,在黑客攻擊潮中掩蓋自己。
據悉,大部分商家並沒有使用SDK,同時微信官方團隊已於第一時間對使用SDK的商家進行了通知,並於今天中午對該漏洞進行了修復,相關補丁會在之後進行發佈,但具體受損細節目前沒有對外公佈。
此次漏洞的關鍵在於對於服務器上關鍵密鑰的保護,因為一旦密鑰被洩露,黑客還能利用並偽造交易。
不過普通用戶不必擔心,因為受該漏洞影響的只是使用微信支付的部分商家,如果商家沒有使用官方提供的Java版SDK,並且服務器上沒有關鍵密鑰,也不會受到太大的影響。
安在在這裡對使用微信SDK的商家作出預警,即刻檢查自己的系統並進行及時的修復,抵禦由於漏洞公佈所導致的新一輪攻擊,防止損失。
同時白帽匯安全研究院會持續跟蹤該漏洞,安在也會對該事件進行持續地關注。
相關閱讀鏈接:https://nosec.org/home/detail/1678.html
外文網站鏈接:http://seclists.org/fulldisclosure/2018/Jul/3
部分圖片與資料來源於白帽匯NOSEC安全訊息平臺
閱讀更多 安在信息安全新媒體 的文章
