微信支付曝“0元购”漏洞 安全团队称已修复

本篇文章627字，读完约2分钟

3日，一家网络安全机构揭露了微信支付中的一组技术漏洞。据称，攻击者可以利用这一漏洞将自己伪装成微信支付平台，通过篡改数据获得“零元购买”的特权。3日晚，记者从微信支付官方渠道了解到，漏洞已经修复，商家不必过度恐慌。

网络安全专家谢忱表示，从目前公布的漏洞信息来看，网络攻击者利用微信支付官方sdk(软件工具开发包)中的漏洞，将自己伪装成“微信支付平台”，然后利用微信的漏洞与商家进行直接沟通，从而达到篡改微信支付正常沟通信息后“窃取支柱”的目的。

谢忱表示，正常的支付流程应该由用户发起，通过微信支付平台到达商家，商家将有一个通过微信支付平台确认支付结果的过程，但网络攻击者只是利用相关漏洞“欺骗”商家。谢忱认为，一些商家的安全防护等级较低，攻击者也可以通过该漏洞获取商家的密钥等信息，然后通过该漏洞实现“设置订单为0元”等操作，严重时会泄露该商家的消费者信息等数据内容。

在线支付安全专家于迪认为，使用微信支付的商家不必过度恐慌。于迪表示，该漏洞只存在于微信支付的java版本sdk中，电子商务的安全保护和权限设置都比较高，完整的攻击行为仍然有很大的局限性。通常情况下，电子商务公司通常会配备相应的对账平台，而这个系统也会起到一定的保护作用。

记者就相关问题询问了微信支付，其安全团队回复称微信支付技术安全团队首次关注并调查了相关问题，并于当天中午更新了官方网站上的sdk漏洞，以修复已知的安全漏洞。同时，微信支付团队提醒商户及时更新相关安全补丁。

来源：千龙新闻网