又到月初了,
你的花唄賬單還清了嗎?
如果有人告訴你,
現在不用你花一分錢,
就能在某些電商平臺隨便買,
你會相信嗎?
恩,我知道聰慧的你,
是不會相信天上掉餡餅的~
那如果這個人是黑客呢?
7月3日,據白帽匯安全研究院的消息,有網友在國外的安全社區公佈了微信支付官方SDK(軟件工具開發包)存在的嚴重漏洞,此漏洞可導致商家服務器被入侵,一旦攻擊者獲得商家的關鍵安全密鑰(md5-key和merchant-Id等),他就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。
發表在漏洞披露平臺Full Disclosure上的公開信
在使用微信支付時,商家需要提供通知網址以接受異步支付結果。問題是微信在JAVA版本SDK中的實現存在一個xxe漏洞。攻擊者可以向通知URL構建惡意payload,根據需要竊取商家服務器的任何信息。
換句話說,黑客利用微信支付的這個漏洞,就能實現0元買買買。
這並不是說說而已,這位網友還直接甩出了兩張圖,展示出漏洞利用的過程,中招者是vivo和陌陌。
值得注意的是,目前漏洞的詳細信息以及攻擊方式已被公開,安全人員建議使用JAVA語言SDK(軟件開發工具包)開發微信支付功能的商戶,快速檢查並修復。
這個漏洞是關於微信支付的官方SDK的,那究竟誰會用到此類SDK呢?
白帽匯安全總監“BaCde”說,所有需要開通微信支付的商家都很有可能用到!
比如,我們平時使用微信支付的時候,都會有一個付款的二維碼,或者網購的時候,也有微信的支付渠道。這就需要商家與微信支付建立一個專屬通道。以你去買麵包為例,在你掃碼的瞬間,微信支付和商家的對話是這樣的:
麵包店:我是某某面包店,我的代號是***
麵包店:是的。
微信支付:我收到了50塊,錢數對嗎?
麵包店:對的。
微信支付:對的話你們訂單系統趕緊處理一下,人家付款成功了。
麵包店:好的,這就處理。
據BaCde透露,由於微信官方的SDK有問題,目前所有使用基於微信支付JAVA SDK開發的微信支付功能都可能受影響。
那黑客為什麼選擇陌陌和vivo來開刀呢?聽起來,這兩家一個是手機廠商,一個是社交軟件,和我們平時刷二維碼或者網購的某某商家還是有區別。
BaCde解釋,vivo這個可能是vivo的在線商城,比如黑客可以用微信支付不花一分錢來買走在線商城的東西。而對於陌陌中招,則有可能是因為它可以通過微信支付進行會員充值,也有漏洞可以利用。
騰訊已經知曉漏洞
記者發現,目前,陌陌和vivo已經修復了相關的漏洞,但針對此漏洞,微信官方並未發佈相關安全公告,也沒有更新微信支付的SDK版本。
也就是說,所有使用微信支付官方SDK的商戶,並且語言是JAVA的,都還處於被攻擊的危險之中。
針對此漏洞,微信支付方面未發佈相關安全公告。騰訊方面在向媒體回應時表示,“微信支付技術安全團隊已第一時間關注及排查,並對官方網站上該SDK漏洞進行更新,修復了已知的安全漏洞,並在此提醒商戶及時更新。請大家放心使用微信支付。”
閱讀更多 宜昌交通廣播 的文章
