央视网

世界就在你面前

又到了月初，

你的花呗还清了吗？

如果有人告诉你，

现在一分钱都不用花

你可以在一些电商平台上随意购买。

你相信吗？

嗯，我知道你很聪明，

我就不相信天上掉下馅饼~

如果这个人是黑客怎么办？

7月3日，据白帽安全研究院消息，有网友在国外安全社区公布微信支付官方SDK（软件工具开发工具包）存在严重漏洞。该漏洞可导致商户服务器被入侵。一旦受到攻击，攻击者一旦获得了商户的关键安全密钥（md5-key和-Id等），就可以通过发送虚假信息来欺骗商户，而无需支付任何费用。

漏洞披露平台Full发表公开信

微信支付漏洞曝光

使用微信支付时，商户需要提供一个通知URL来接受异步支付结果。问题是JAVA版SDK中微信的实现存在xxe漏洞。攻击者可以在通知 URL 中制作恶意内容，并根据需要从商家的服务器窃取任何信息。

也就是说，黑客可以利用微信支付中的这个漏洞，实现0元购买。

这不仅仅是说说而已。该网友还直接贴出两张图片来展示该漏洞的利用过程。受害者是vivo和Momo。

▲Momo微信支付漏洞利用流程

▲vivo微信支付漏洞利用流程

值得注意的是，该漏洞的详细信息和攻击方式已经被公开。安全人员建议使用JAVA语言SDK（软件开发包）开发微信支付功能的商户快速排查修复。

谁会使用微信支付SDK？

这个漏洞是关于微信支付官方SDK的，那么谁会使用这种SDK呢？

白毛慧安全总监“”表示，所有需要开通微信支付的商户都有可能使用！

比如我们平时使用微信支付的时候，就会有一个支付的二维码，或者在网上购物的时候，也有微信支付的渠道。这就需要商家与微信支付建立专属渠道。以你去买面包为例。扫码的那一刻，微信支付与商户的对话如下：

微信支付：您是哪家店的？

面包店：我是某面包店，我的代号是***

微信支付：您生成订单了吗？

面包店：是的。

微信支付：我收到了50元，金额正确吗？

面包店：对。

微信支付：如果是，您的订单系统会尽快处理。付款成功。

面包房：好的，我们来处理吧。

据介绍，由于微信官方SDK存在问题，目前所有基于微信支付JAVA SDK开发的微信支付功能可能会受到影响。

那么黑客为何选择陌陌和vivo进行操作呢？听起来这两家公司一个是手机厂商，另一个是社交软件。他们和我们平时用二维码或者网上购物的商家还是不一样的。

说明一下vivo可能是vivo的网上商城。例如，黑客可以使用微信支付从网上商城购买东西，而无需花费一分钱。至于陌陌，可能是因为它可以通过微信支付充值会员，也存在可以利用的漏洞。

腾讯已意识到该漏洞

记者发现，目前，陌陌、vivo均已修复相关漏洞，但微信官方尚未就该漏洞发布相关安全公告，也未更新微信支付的SDK版本。

也就是说，所有使用官方微信支付SDK且语言为JAVA的商户仍然面临被攻击的风险。

针对该漏洞，微信支付尚未发布相关安全公告。腾讯方面回应媒体称，“微信支付技术安全团队已立即关注并调查，更新了官网SDK漏洞，修复了已知安全漏洞，特此提醒商户及时更新。”欢迎使用微信支付。”