微信是最流行的 App 之一,特別是隨著“二維碼付款”成為潮流,越來越多的小夥伴早已習慣不帶現金出門。
如果有人告訴你,現在不用你花一分錢,就能用[微信支付]買買買,這種天上掉餡餅的事,你會相信嗎?
7 月 1 日,在老牌漏洞披露平臺 Full Disclosure 出現了一封寫給微信支付的公開信。
發件人是 Rose Jackcode,信的標題是《微信支付官方SDK的XXE安全漏洞(微信支付在商戶頁面遺留了一個後門)》。
▲發表在漏洞披露平臺 Full Disclosure 上的公開信
發件人 Rose Jackcode 在信中稱,他在微信支付官方 SDK(軟件工具開發包)發現了一個安全漏洞,此漏洞可導致商家服務器被入侵,一旦攻擊者獲得商家的關鍵安全密鑰,就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。
換句話說,黑客利用微信支付的這個漏洞,能實現 0 元無限買買買。
這並不是說說而已,這位網友還直接甩出了兩張圖,展示出漏洞利用的過程,中招者是 VIVO 和陌陌。
▲陌陌、VIVO 的微信支付漏洞利用過程
看不懂沒關係,為了方便小夥伴理解,他們舉了個小例子:
這個過程叫“商戶回調接口”,而這個漏洞可以讓微信支付產生“人家付款成功了”的錯覺,從而讓黑客實現 0 元購。
隨後,微信支付技術安全團隊已關注問題並及時排查,並進行更新,修復了已知的安全漏洞。
雖然微信支付安全漏洞已經被修復,但大家關注的熱度依舊高漲。查看百度熱搜指數發現,微信支付被爆漏洞這一話題依舊高居榜首。
一定不少小夥伴要吐槽了:“怎麼又是修復好了才告訴我?有沒有感覺錯過了幾百萬哈....
危害不只是“0 元也能買買買”
在很多媒體的報道中,強調該漏洞的風險在於攻擊者可以不支付也可以獲得商品。
攻擊者在通過上述漏洞獲得微信支付的秘鑰以後,有不止一種途徑可以做到不支付就獲得商品。
例如,攻擊者首先在系統中下單,獲得商戶訂單號;然後便可以調用微信支付的異步回調。
其中的簽名參數便可以使用前面獲取的秘鑰對訂單號等信息進行 MD5 獲得;這樣攻擊者的異步回調就可以通過應用服務器的簽名認證,從而獲得商品。
不過,在很多有一定規模的購物網站(或其他有支付功能的網站),會有對賬系統,如定時將系統中的訂單狀態與微信、支付寶的後臺對比。
如果出現不一致可以及時報警並處理,因此該漏洞在這方面的影響可能並沒有想象的那麼大。
然而,除了“0 元也能買買買”,攻擊者可以做的事情還有很多很多;理論上來說,攻擊者可能獲得應用服務器上的目錄結構、代碼、數據、配置文件等,可以根據需要進行進一步破壞。
雖然微信支付曝出該漏洞受到了廣泛關注,但該漏洞絕不僅僅存在於微信支付中。
在前面曾經提到,應用中存儲的秘鑰一旦洩露,攻擊者便可以完全繞過簽名認證,這是因為微信支付使用的是對稱式的簽名認證。
微信方和應用方,使用相同的秘鑰對相同的明文進行 MD5 簽名,只要應用方的秘鑰洩露,簽名認證就完全成了擺設。
在這方面支付寶的做法更規範也更安全:支付寶為應用生成公私鑰對,公鑰由應用方保存,私鑰由支付寶保存;在回調時,支付寶使用私鑰進行簽名,應用方使用公鑰進行驗證。
這樣只要支付寶保存的私鑰不洩露,攻擊者只有公鑰則難以通過簽名認證。
閱讀更多 輝暉飛 的文章
