微信支付SDK被曝重大安全漏洞,商家服务器面临威胁
谁会用到微信支付的SDK
白帽汇安全总监“BaCde”指出,所有需要接入微信支付的商家都有可能使用到该SDK。无论是线上网购还是线下扫码支付,商户都需通过“商户回调接口”与微信支付系统交互。
为了简化接入流程并提升安全性,微信官方提供了针对不同编程语言的SDK开发包。但一旦这些SDK中存在安全漏洞,将直接影响使用它们的商户服务器,可能导致订单数据被篡改、用户信息泄露等问题。
目前确认受影响的是使用JAVA版本SDK的商户。黑客可通过构造恶意请求实现0元购买商品,并获取敏感信息。据分析,vivo和陌陌可能是分别因在线商城与会员充值功能而成为攻击目标。
商户、用户和黑客
对于使用JAVA语言接入微信支付的商户来说,若未遵循安全编码规范,可能导致其微信支付功能存在安全风险。攻击者可伪造网络请求实施0元购操作,同时窃取用户信息并在暗网兜售。
普通用户的个人信息一旦被泄露,可能频繁遭遇垃圾信息骚扰甚至诈骗电话。而黑客则可通过这一漏洞获利——既能免费获取商品或服务,又能转卖用户资料赚取收益。
漏洞影响
尽管陌陌与vivo已自行修复相关问题,但截至目前,微信官方尚未发布正式的安全公告或更新SDK版本。这意味着仍有大量中小型商户处于高风险之中。
BaCde表示,虽然当前曝光的是JAVA版SDK问题,但实际上历史上PHP版本也曾出现过类似安全隐患。此类XML外部实体注入漏洞(XXE)可能引发读取任意文件、执行系统命令、探测内网端口等多种危害。
关于为何公开此漏洞细节,白帽汇创始人赵武推测可能是黑客试图通过公开披露来掩盖自身攻击痕迹,或将引起更多人参与攻击以混淆视听。
腾讯已经知晓漏洞
该漏洞已在Twitter上引起关注,并有国外安全研究人员@360转发给腾讯团队。腾讯安全响应中心人员亦在推特下留言回应称正在处理此事。
