7月3日,国外安全社区Seclists.Org里一名白帽子披露了微信支付官方SDK存在严重的XXE漏洞,可导致商家服务器被入侵,并且黑客可避开真实支付通道,用虚假的支付通知来购买任意产品。另外,陌陌、vivo已经验证被该漏洞影响。
腾讯方面接受记者采访时表示:“微信支付技术安全团队已第一时间关注及排查,并于今天中午对官方网站上该SDK漏洞进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。请大家放心使用微信支付。”
一位安全专家告诉记者,影响到支付的漏洞属于比较严重的漏洞,但微信官方反应很快,这种漏洞可以很快得到修复。受影响的可能是唯品会、vivo这种自建平台类商户,这类商户需要及时更新系统;而小的商户一般使用的是平台系统,平台修复升级后,商户不用操心;另外普通商户使用的是点对点扫码转账,也不用担心。“哪些商户需要升级,微信应该会通知到。”
支付软件有哪些安全隐患?
(1)中间人攻击
通过拦截网络通信数据,进行用户账户、密码信息的窃取和篡改。
(2)手机扫描二维码支付宝被盗
若手机扫描了一个含有木马链接的二维码,并让用户向这部手机发短信。结果,另一部黑客手机接收到了这条短信。此时,如果受害者再用手机号或个人资料去申请支付账户“找回密码”功能,验证短信都会被转到黑客手机上。不法分子就能轻而易举地修改用户密码,在用户不知情的情况下将支付宝里的余额转走。
(3)网络钓鱼
攻击者将自己伪装成银行或其他知名机构,利用欺骗性的电子邮件等方式诱导收信人提供敏感信息,如信用卡号、账户和密码等。
(4)软件二次打包
将病毒等恶意代码以二次打包的方式通过知名手机银行、第三方支付以及电子商务等软件进行传播,窃取用户的隐私数据。
(5)恶意软件
在用户不知情的情况下,以某种服务应用程序为载体,安装到用户终端后,开展恶意扣费、隐私窃取等恶意行为。
佰佰安全网提醒:这些安全威胁引发了移动支付中的伪冒交易、恶意转账、恶意取现和盗取账号等安全事件,使移动支付的发展面临巨大挑战。
( 责任编辑: 武伟伟 )
2935
