微信支付安全漏洞已被修复,但支付平台类似问题并不少见

来源:36氪  作者:高小倩    2018-07-05 08:08 0
分享到:
导语

此前,支付宝曾发现微信安全漏洞.

针对近日被网友爆出的微信支付安全漏洞问题,腾讯方面回复36氪称,微信支付技术安全团队第一时间关注及排查,并已对官方网站上受影响的服务器端SDK漏洞进行更新,修复了已知的安全漏洞,并已提醒商户及时更新。

腾讯方面还解释,本次漏洞本质为商户自身服务器后台系统中存在XML外部实体注入漏洞(简称 XXE)。事实上,该漏洞为常见漏洞,只要在程序接收到XML数据进行解析之前,调用相关的函数关闭XML语言的上述特性即可有效防范和解决。

目前已经启动商户的安全提示,提示商户主动排查其自建系统是否存在该漏洞,并给出修复指引进行协助。

不过,虽然微信支付安全漏洞已经被修复,但大家关注的热度依旧高涨。查看百度热搜指数发现,微信支付被爆漏洞这一话题依旧高居榜首。据36氪推测,大多数人可能并不关注怎么修复安全漏洞,而是较为关心对个体产的影响。

最前线 | 微信支付安全漏洞已被修复,但支付平台类似问题并不少见

来自百度风云榜-实时热点

从昨日网友的爆料来看,确实容易引起用户的担忧。

上述网友在国外安全社区公布了微信支付官方SDK(软件工具开发包)存在的严重漏洞,并表示此漏洞可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。

与此同时,该网友还公布了陌陌和vivo的微信支付漏洞被利用过程的截图。截图显示,只要黑客利用了这些漏洞,就可以0元买买买,甚至可以倒卖用户信息。以此来看,用户持续关注不无道理。

最前线 | 微信支付安全漏洞已被修复,但支付平台类似问题并不少见

陌陌的微信支付漏洞利用过程

最前线 | 微信支付安全漏洞已被修复,但支付平台类似问题并不少见

vivo的微信支付漏洞利用过程

网络安全专家谢忱接受新华社采访时介绍,从当前被公开的漏洞信息来看,网络攻击者是利用了微信支付官方SDK(软件工具开发包)存在的漏洞,将自己伪装成“微信支付平台”,继而通过微信的漏洞伪造与商户的直接通信,在篡改微信支付的正常通信信息后达到“偷梁换柱”的目的。

另外,网络支付安全专家于迪则认为,接入微信支付的商户不必过度恐慌。于迪表示,该漏洞只存在于微信支付Java版本的SDK中,并且电商的安全防护及权限设置较高,完整攻击行为还存在较大的局限性。一般情况下,电商通常也会配备相应的对账平台,该系统也会有一定的防护作用。

谈及后续影响,腾讯方面也向36氪表示,此次问题服务器端SDK的实际影响范围不大,完全可控。请大家放心使用微信支付。作为平台,微信支付有义务帮助商户发现和排除自己实现的系统中同样的安全问题,共同提升移动支付整体安全性。

其实,第三方支付平台出现安全漏洞并不少见。此前微信也曾出现漏洞,而且是竞争对手支付宝发现的。

今年2月底,阿里安全猎户座实验室和潘多拉实验室发现微信存在漏洞后,第一时间上报到了国家相关部门,并且通知了微信团队。

据介绍,这个漏洞可以让用户的微信在完全无感知的情况下被攻击者克隆账户,包括聊天记录等信息会全部同步到攻击者的手机上,从而导致用户的微信账号信息泄露,其中包括微信支付也能被克隆。

在漏洞修复后,微信团队曾向阿里的安全团队表示感谢。

在另一大支付平台上,也曾出现过漏洞问题。去年1月,网友爆料称,支付宝存在安全风险:只要知道支付宝账号、近期购买过的商品、和支付宝好友,就有一定几率能登录他人的支付宝账号。随后,支付宝方面表示已经提高安全等级。

根据益普索发布的《2018上半年第三方移动支付用户研究报告》,移动支付用户规模约为8.9亿。其中,财付通用户8.2亿,支付宝用户6.5亿,财付通和支付宝的用户渗透率分别为85.4%和68.7%。

编辑:王凤至
支付 安全漏洞 问题 平台
分享到:

财经网微评论0人参与)

查看更多>>
匿名评论
  • 全部评论(0条)
查看更多>>
  • 热门排行
  • 大家喜欢
  • 据浙江省公安厅“浙江网警巡查执法”官方微信号最新报道,近日,杭州萧山警方经过周密部署、快速行动破获一起利用技术试图获取快递信息的重大案件,抓获21名犯罪嫌疑人,由于涉案数据处置得当,未造成数据外漏。

  • 据悉,20位幸福乡村带头⼈22-24日参加快手2018“家乡市集”活动,进行特色农产品现场售卖。2019年1月,20位老铁将再次齐聚北京,进行第二期幸福乡村创业学院的商业培训。

  • 9月12日,作为家用电器领军科技企业的戴森在北京推出三款全新产品:全新戴森LightcycleTM台灯、戴森Pure Hot+CoolTM空气净化暖风扇和戴森360 HeuristTM 智能吸尘机器人,该系列产品主打对室内环境进行自动监测、诊断判析并作出反应的性能,通过先进的硬件和软件技术,让用户自定义设置和控制居住环境。

  • 未来,CNBPA将通过定期举办“云原生技术实践峰会”、线下闭门讨论等,持续推进云原生技术产业化落地,推进行业标准化工作,建立云原生用户社区,发展优秀实践会员,推广领先解决方案,构建技术带动实践、实践反哺技术的良性生态,提升云原生技术在市场的影响力。

  • 9月20日,2018国际数字经济博览会在石家庄举行,这是全国首个以数字经济为主题的综合性展会,以“数字经济、引领未来”为主题,推动数字经济与产业的深度融合。字节跳动公司作为高新科技企业代表亮相博览会,展示公司在人工智能技术、企业社会责任等领域取得的最新进展。