当前位置: 澳门葡京澳门葡京网址网首页> 金融> 互联网金融> 滚动图片

微信支付曝漏洞 电商“细思恐极”

微信支付曝漏洞 电商“细思恐极”

分享
人工智能朗读:

近日,有网络安全机构曝光了一组微信支付的技术漏洞,据称攻击者可利用该漏洞将自己伪装成微信支付平台,通过篡改数据的方式获得“0元购”特权。

近日,有网络安全机构曝光了一组微信支付的技术漏洞,据称攻击者可利用该漏洞将自己伪装成微信支付平台,通过篡改数据的方式获得“0元购”特权。记者从微信支付官方渠道获悉,该漏洞已修复,商家不必过度恐慌。

据网络安全专家谢忱介绍,从当前被公开的漏洞信息来看,网络攻击者是利用了微信支付官方SDK(软件工具开发包)存在的漏洞,来获取商户的密钥等信息,并将自己伪装成“微信支付平台”,继而通过微信的漏洞伪造与商户的直接通信,再通过这个漏洞就可以实现“将订单设置为0元”等操作,然后给商家模拟发送已经付款成功的通知,令商家误以为交易成功,严重者还会导致该商户的消费者信息等数据内容泄漏。

网络支付安全专家于迪则认为,接入微信支付的商户不必过度恐慌。于迪表示,该漏洞只存在于微信支付Java版本的SDK中,并且电商的安全防护及权限设置较高,完整攻击行为还存在较大的局限性。一般情况下,电商通常也会配备相应的对账平台,该系统也会有一定的防护作用。

记者就有关问题函询了微信支付方面,其安全团队回函称:微信支付技术安全团队已第一时间关注及排查有关问题,并于当天中午对官方网站上的SDK漏洞进行了更新,修复了已知安全漏洞,同时微信支付团队提醒商户应及时更新相关安全补丁。

黑客利用SDK漏洞

获取商家安全密钥与关键信息

给商家模拟发送付款成功的通知,令商家误以为交易成功

商家根据系统反馈的交易信息发货,而实际上黑客没有付款。

林晓东对此报道有贡献

[责任编辑:朱琳]