微信支付被曝漏洞 国外爆料却出现中文符号或另有玄机
微信支付被曝漏洞。移动支付时代初期,普及的最大阻碍就是人们对其安全性的怀疑。随着时间的推移和使用范围的扩大,大家开始认为,手机支付比每天带现金上街更加安全。然而,近期微信支付爆出的漏洞,又唤起了人们最原始的担忧。
昨日,ID为Rose Jackcode的用户在国外安全社区上http://SECLISTS.ORG曝出,微信支付存在巨大漏洞。微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果,该接口接受XML格式的数据,攻击者可以构造恶意的回调数据(XML格式)来窃取商家服务器上的任何信息。一旦攻击者获得了关键支付的安全密钥,将可以直接实现0元支付购买任何商品。
截至目前,微信既未发布相关安全公告,也没有更新微信支付SDK版本。换句话说,所有使用微信支付官方SDK的商户,并且语言是JAVA的,都还处于被攻击的危险之中。
腾讯方面则表示,“微信支付技术安全团队已第一时间关注及排查,并于中午对官方网站上该SDK漏洞进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。请大家放心使用微信支付。”
有意思的是,白帽汇安全研究院发现,该用户的报告中使用的顿号皆为中文全角符号,这说明,爆料人很有可能是中国人。众所周知,大多数公司对于提交安全漏洞的人员都有奖励。业内有观点认为,爆料人之所以没有和微信沟通,而是上外国论坛爆料,很可能是因为他利用了这个漏洞却抹不掉痕迹,希望吸引黑客潮掩盖自己。
广告、内容合作请点这里:寻求合作
咨询·服务