微信支付安全漏洞已被修復,但支付平臺類似問題并不少見。針對近日被網(wǎng)友爆出的微信支付安全漏洞問題,騰訊方面回復稱,微信支付技術安全團隊已第一時間關注及排查,并于昨日中午對官方網(wǎng)站上該SDK漏洞進行更新,修復了已知的安全漏洞,并在此提醒商戶及時更新。
騰訊方面還表示,請大家放心使用微信支付。不過,雖然微信支付安全漏洞已經(jīng)被修復,但大家關注的熱度依舊高漲。查看百度熱搜指數(shù)發(fā)現(xiàn),微信支付被爆漏洞這一話題依舊高居榜首。據(jù)推測,大多數(shù)人可能并不關注怎么修復安全漏洞,而是較為關心對個體產(chǎn)的影響。
來自百度風云榜-實時熱點
從昨日網(wǎng)友的爆料來看,確實容易引起用戶的擔憂。
上述網(wǎng)友在國外安全社區(qū)公布了微信支付官方SDK(軟件工具開發(fā)包)存在的嚴重漏洞,并表示此漏洞可導致商家服務器被入侵,一旦攻擊者獲得商家的關鍵安全密鑰,就可以通過發(fā)送偽造信息來欺騙商家而無需付費購買任何東西。
與此同時,該網(wǎng)友還公布了陌陌和vivo的微信支付漏洞被利用過程的截圖。截圖顯示,只要黑客利用了這些漏洞,就可以0元買買買,甚至可以倒賣用戶信息。以此來看,用戶持續(xù)關注不無道理。
陌陌的微信支付漏洞利用過程
vivo的微信支付漏洞利用過程
網(wǎng)絡安全專家謝忱接受采訪時介紹,從當前被公開的漏洞信息來看,網(wǎng)絡攻擊者是利用了微信支付官方SDK(軟件工具開發(fā)包)存在的漏洞,將自己偽裝成“微信支付平臺”,繼而通過微信的漏洞偽造與商戶的直接通信,在篡改微信支付的正常通信信息后達到“偷梁換柱”的目的。
另外,網(wǎng)絡支付安全專家于迪則認為,接入微信支付的商戶不必過度恐慌。于迪表示,該漏洞只存在于微信支付Java版本的SDK中,并且電商的安全防護及權限設置較高,完整攻擊行為還存在較大的局限性。一般情況下,電商通常也會配備相應的對賬平臺,該系統(tǒng)也會有一定的防護作用。
至于為何會出現(xiàn)該漏洞,怎么修復的,會產(chǎn)生什么影響,以及后續(xù)該怎么防范,這一系列問題還在等待微信支付的回復。
此前微信也曾出現(xiàn)漏洞,而且是競爭對手支付寶發(fā)現(xiàn)的。
今年2月底,阿里安全獵戶座實驗室和潘多拉實驗室發(fā)現(xiàn)微信存在漏洞后,第一時間上報到了國家相關部門,并且通知了微信團隊。
據(jù)介紹,這個漏洞可以讓用戶的微信在完全無感知的情況下被攻擊者克隆賬戶,包括聊天記錄等信息會全部同步到攻擊者的手機上,從而導致用戶的微信賬號信息泄露,其中包括微信支付也能被克隆。
在漏洞修復后,微信團隊曾向阿里的安全團隊表示感謝。
在另一大支付平臺上,也曾出現(xiàn)過漏洞問題。去年1月,網(wǎng)友爆料稱,支付寶存在安全風險:只要知道支付寶賬號、近期購買過的商品、和支付寶好友,就有一定幾率能登錄他人的支付寶賬號。隨后,支付寶方面表示已經(jīng)提高安全等級。
根據(jù)益普索發(fā)布的《2018上半年第三方移動支付用戶研究報告》,移動支付用戶規(guī)模約為8.9億。其中,財付通用戶8.2億,支付寶用戶6.5億,財付通和支付寶的用戶滲透率分別為85.4%和68.7%。
