微信支付安全漏洞被修復，支付寶也曾中招

文 | 高小倩 來源：36氪

針對近日被網友爆出的微信支付安全漏洞問題，騰訊方面回覆36氪稱，微信支付技術安全團隊已第一時間關注及排查，並於昨日中午對官方網站上該SDK漏洞進行更新，修復了已知的安全漏洞，並在此提醒商户及時更新。

騰訊方面還表示，請大家放心使用微信支付。不過，雖然微信支付安全漏洞已經被修復，但大家關注的熱度依舊高漲。查看百度熱搜指數發現，微信支付被爆漏洞這一話題依舊高居榜首。據36氪推測，大多數人可能並不關注怎麼修復安全漏洞，而是較為關心對個體產的影響。

來自百度風雲榜-實時熱點

從昨日網友的爆料來看，確實容易引起用户的擔憂。

上述網友在國外安全社區公佈了微信支付官方SDK(軟件工具開發包)存在的嚴重漏洞，並表示此漏洞可導致商家服務器被入侵，一旦攻擊者獲得商家的關鍵安全密鑰，就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。

與此同時，該網友還公佈了陌陌和vivo的微信支付漏洞被利用過程的截圖。截圖顯示，只要黑客利用了這些漏洞，就可以0元買買買，甚至可以倒賣用户信息。以此來看，用户持續關注不無道理。

陌陌的微信支付漏洞利用過程

vivo的微信支付漏洞利用過程

網絡安全專家謝忱接受新華社採訪時介紹，從當前被公開的漏洞信息來看，網絡攻擊者是利用了微信支付官方SDK（軟件工具開發包）存在的漏洞，將自己偽裝成“微信支付平台”，繼而通過微信的漏洞偽造與商户的直接通信，在篡改微信支付的正常通信信息後達到“偷樑換柱”的目的。

另外，網絡支付安全專家於迪則認為，接入微信支付的商户不必過度恐慌。於迪表示，該漏洞只存在於微信支付Java版本的SDK中，並且電商的安全防護及權限設置較高，完整攻擊行為還存在較大的侷限性。一般情況下，電商通常也會配備相應的對賬平台，該系統也會有一定的防護作用。

至於為何會出現該漏洞，怎麼修復的，會產生什麼影響，以及後續該怎麼防範，這一系列問題36氪還在等待微信支付的回覆。

此前微信也曾出現漏洞，而且是競爭對手支付寶發現的。

今年2月底，阿里安全獵户座實驗室和潘多拉實驗室發現微信存在漏洞後，第一時間上報到了國家相關部門，並且通知了微信團隊。

據介紹，這個漏洞可以讓用户的微信在完全無感知的情況下被攻擊者克隆賬户，包括聊天記錄等信息會全部同步到攻擊者的手機上，從而導致用户的微信賬號信息泄露，其中包括微信支付也能被克隆。

在漏洞修復後，微信團隊曾向阿里的安全團隊表示感謝。

在另一大支付平台上，也曾出現過漏洞問題。去年1月，網友爆料稱，支付寶存在安全風險：只要知道支付寶賬號、近期購買過的商品、和支付寶好友，就有一定幾率能登錄他人的支付寶賬號。隨後，支付寶方面表示已經提高安全等級。

根據益普索發佈的《2018上半年第三方移動支付用户研究報告》，移動支付用户規模約為8.9億。其中，財付通用户8.2億，支付寶用户6.5億，財付通和支付寶的用户滲透率分別為85.4%和68.7%。