微信支付買東西「0元購」 平臺SDK遭篡改僞裝商家!

中國人民銀行,央行,第三方支付,網聯,銀聯,支付寶,微信(圖/翻攝自央視財經

大陸中心綜合報導

大陸網路上近日出現一個微信支付的技術漏洞攻擊者可以自行竄改數據獲得「0元購」特權,而這原因就是僞裝成微信支付平臺。對此,微信支付官方指出,該漏洞已修復,商家不必過度恐慌。

新華網報導,網路安全專家謝忱介紹,從當前的資訊來看,網路攻擊者是利用了微信支付官方SDK(軟件工具開發包)存在的漏洞,將自己僞裝成微信支付平臺,接着通過微信的漏洞僞造與商戶的直接通信,在篡改微信支付的正常通信信息後達到目的

謝忱表示,正常的支付流程應該是由用戶發起,經由微信支付平臺到達商家,商家會有一個與微信支付確認結果過程,而網路攻擊者就是利用相關漏洞騙過了商戶。他認爲,一些商家的安全防護水平較低,攻擊者還可通過該漏洞獲取商戶的密鑰等信息,再通過這個漏洞就可以實現「訂單設置爲0元」等操作,嚴重者還會導致該商戶的消費者資訊等數據內容泄漏。

網路支付安全專家於迪則認爲,接入微信支付的商戶不必過度恐慌,該漏洞只存在微信支付Java版本的SDK中,並且電商的安全防護及權限設置較高,完整攻擊行爲還存在較大的侷限性。他說,一般情況下,電商通常也會配備相應的對帳平臺,該系統也會有一定的防護作用。

微信支付的安全團隊則表示,微信支付技術安全團隊已第一時間關注及排查有關問題,並對官方網站上的SDK漏洞進行了更新,修復了已知安全漏洞,同時微信支付團隊提醒商戶應及時更新相關安全資資料