微信支付曝0元购漏洞安全团队回应称已修复

2019-04-10 23:25:50 来源: 和平信息港

支付曝“0元购”漏洞 安全团队回应称已修复

作者:颜之宏来源:新华社

新华社厦门7月4日电(颜之宏)3日,有络安全机构曝光了一组支付的技术漏洞,据称攻击者可利用该漏洞将自己伪装成支付平台广州展览搭建
,通过篡改数据的方式获得0元购特权。3日晚间从支付官方渠道获悉,该漏洞已修复,商家不必过度恐慌。

据络安全专家谢忱介绍,从当前被公开的漏洞信息来看,络攻击者是利用了支付官方SDK(软件工具开发包)存在的漏洞,将自己伪装成支付平台,继而通过的漏洞伪造与商户的直接通信装卸平台
,在篡改支付的正常通信信息后达到偷梁换柱的目的飞机托运行李

谢忱表示,正常的支付流程应该是由用户发起,经由支付平台到达商家,商家会有一个与支付平台确认支付结果的过程,而络攻击者恰恰是利用了相关漏洞骗过了商户。谢忱认为,一些商家的安全防护水平较低,攻击者还可通过该漏洞获取商户的密钥等信息,再通过这个漏洞就可以实现将订单设置为0元等操作,严重者还会导致该商户的消费者信息等数据内容泄漏。

络支付安全专家于迪则认为,接入支付的商户不必过度恐慌。于迪表示,该漏洞只存在于支付Java版本的SDK中,并且电商的安全防护及权限设置较高,完整攻击行为还存在较大的局限性。一般情况下,电商通常也会配备相应的对账平台,该系统也会有一定的防护作用。

就有关问题函询了支付方面,其安全团队回函称:支付技术安全团队已时间关注及排查有关问题,并于当天中午对官方站上的SDK漏洞进行了更新,修复了已知安全漏洞,同时支付团队提醒商户应及时更新相关安全补丁。

本文标签: