文 | 一帆
今日,白帽汇NOSEC安全讯息平台发布报告,发现某国外安全社区公布了微信支付官方SDK存在的严重漏洞,该漏洞可导致商家服务器被绕过支付。
微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果,该接口接受XML格式的数据,攻击者可以构造恶意的回调数据(XML格式)来窃取商家服务器上的任何信息。一旦攻击者获得了关键支付的安全密钥(md5-key和商家信息,将可以直接实现0元支付购买任何商品)
根据白帽汇NOSEC安全讯息平台提供的网站链接:http://seclists.org/fulldisclosure/2018/Jul/3,安在登录了名为SECLISTS.ORG的国外安全社区,发现这则漏洞由名为Rose Jackcode的用户于7月1日公布。
该用户在报告中详细披露的漏洞的具体信息以及攻击方式,根据已公开利用细节可以确认,陌陌和VIVO因使用该SDK而存在该漏洞。
由于微信支付当前被广泛应用于各种支付场景,所以此漏洞影响范围非常广,主要波及应用微信支付的各大商家,危害及可能产生的隐患非常之多。在漏洞细节被披露之后,安在第一时间联系到了白帽汇负责人赵武。
赵武表示,此次漏洞背后可能存在很多猫腻。首先,该漏洞的曝光方式并不正常:这位名为Rose Jackcode的技术人员并没有和微信官方工作人员展开直接的沟通,而是在安全平台直接将漏洞细节、攻击方式,甚至对遭受该漏洞影响的厂商名单进行了公开。
其次,白帽汇安全研究院在调查中发现,该漏洞报告中所使用的顿号均为中文全角的符号,存在漏洞报告者Rose Jackcode真实身份为中国人的可能。
根据这两个情况,有业内人士猜测,不排除两种可能性:一是竞争对手对微信的直接打击;另一种则是由于黑客在攻击的过程中发现不能清除痕迹,所以公开了漏洞细节和攻击方式,在黑客攻击潮中掩盖自己。
据悉,大部分商家并没有使用SDK,同时微信官方团队已于第一时间对使用SDK的商家进行了通知,并于今天中午对该漏洞进行了修复,相关补丁会在之后进行发布,但具体受损细节目前没有对外公布。
此次漏洞的关键在于对于服务器上关键密钥的保护,因为一旦密钥被泄露,黑客还能利用并伪造交易。
不过普通用户不必担心,因为受该漏洞影响的只是使用微信支付的部分商家,如果商家没有使用官方提供的Java版SDK,并且服务器上没有关键密钥,也不会受到太大的影响。
安在在这里对使用微信SDK的商家作出预警,即刻检查自己的系统并进行及时的修复,抵御由于漏洞公布所导致的新一轮攻击,防止损失。
同时白帽汇安全研究院会持续跟踪该漏洞,安在也会对该事件进行持续地关注。
相关阅读链接:https://nosec.org/home/detail/1678.html
外文网站链接:http://seclists.org/fulldisclosure/2018/Jul/3
部分图片与资料来源于白帽汇NOSEC安全讯息平台
閱讀更多 安在信息安全新媒體 的文章
