近日有网友在国外安全社区公布了微信支付官方SDK存在的严重漏洞,此漏洞可侵入商家服务器,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。目前中招的有陌陌和vivo。记者3日晚间从微信支付官方渠道获悉,该漏洞已修复,商家不必过度恐慌。
据网络安全专家谢忱介绍,从当前被公开的漏洞信息来看,网络攻击者是利用了微信支付官方SDK(软件工具开发包)存在的漏洞,将自己伪装成“微信支付平台”,继而通过微信的漏洞伪造与商户的直接通信,在篡改微信支付的正常通信信息后达到“偷梁换柱”的目的。
谢忱表示,正常的支付流程应该是由用户发起,经由微信支付平台到达商家,商家会有一个与微信支付平台确认支付结果的过程,而网络攻击者恰恰是利用了相关漏洞“骗”过了商户。谢忱认为,一些商家的安全防护水平较低,攻击者还可通过该漏洞获取商户的密钥等信息,再通过这个漏洞就可以实现“将订单设置为0元”等操作,严重者还会导致该商户的消费者信息等数据内容泄漏。
vivo的微信支付漏洞利用过程:
微信支付被曝漏洞:还能安心的使用微信支付吗?
目前,微信支付方面未发布相关安全公告。腾讯方面表示,微信支付技术安全团队已第一时间关注及排查,并于对官方网站上该SDK漏洞进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。修复了已知的安全漏洞,并在此提醒商户及时更新。请大家放心使用微信支付。”
好在这次官方反应迅速,没有造成太大影响。商户们也应随时关注,及时更新。
责任编辑:杨林宇
特别声明:本网登载内容出于更直观传递信息之目的。该内容版权归原作者所有,并不代表本网赞同其观点和对其真实性负责。如该内容涉及任何第三方合法权利,请及时与ts@hxnews.com联系或者请点击右侧投诉按钮,我们会及时反馈并处理完毕。
- 苹果取消Airpower怎么回事?苹果为什么取消Airpower原因揭秘2019-03-30
- 微软禁过愚人节原因是什么?微软为什么禁过愚人节?2019-03-29
- 斗鱼23次投诉虎牙怎么回事?斗鱼为什么投诉虎牙?2019-03-29
- 最新游戏花边 频道推荐
-
3月LOL阿卡丽的神秘商店地址2019,阿卡丽黑金2019-03-31
- 进入图片频道最新图文
- 进入视频频道最新视频
- 一周热点新闻
已有0人发表了评论