粉絲團
中國微信支付被爆出現嚴重安全漏洞問题。(路透)
〔財經頻道/綜合報導〕中國微信支付近日被爆出發現嚴重安全漏洞問题,據稱該漏洞可以入侵商家的伺服器,一旦攻擊者獲得了安全密鑰,就可以通過發送偽造訊息來欺騙商家,無須付款就可以購買到任何東西。
綜合外媒報導,有1名白帽駭客在國外資安論壇Full Disclosure公布他所發現到的微信支付 SDK漏洞,並將過程跟作法貼在網路上。這名白帽駭客表示,在使用微信支付時,商家的伺服器會提供1組通知網址以接收異步付款的結果。微信支付SDK存在一個XXE漏洞,讓有心者可以對那個通知網址進行攻擊,竊取商家伺服器的必要訊息,並偽造訊息蒙騙商家,讓商家誤以為已經收到款項,藉此達成零付費購買物品的目的。
該名白帽駭客除了披露相關的漏洞與攻擊模式以外,還拿網路商城Vivo跟社交軟體默默當作示範,實際操作了攻擊方式,代表網路商城購買實體或者是軟體充值都有可能受到這個漏洞的影響。
微信支付也在第1時間關注,並宣稱此一SDK漏洞已被修復,也提醒用戶及時更新。
一手掌握經濟脈動 點我訂閱自由財經Youtube頻道
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法
