导语:微信支付漏洞仍存隐患,信息泄露不容小觑。

7 月 3 日,一位疑似外国安全人员在 Twitter 上公开了微信支付存在的一大漏洞,引起业内轰动。该漏洞一旦被利用,可根据需要窃取商家服务器的任何信息,甚至可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。

举个简单易懂的栗子

首先我们来看一个没有受到漏洞干扰的微信交易过程:

图片1.png

接下来是被漏洞影响,可能发生的交易过程

(灰色头像的「微信商户平台」是成功利用漏洞后产生的「虚假」的平台,买家为利用漏洞的「坏人」)

图片2.png

在这个过程中,商家无疑被这个恶意买家欺骗了,实际商家并没有收到所谓的「买家」打给微信商户平台的货款!

事件追踪

到目前为止,微信支付被曝技术漏洞这一事件究竟造成了多大损失仍是未知,但此事使很多安全问题浮出水面。微信虽然在第一时间接受媒体采访时称「已经修复了相关漏洞」。不过这个漏洞所影响的使用微信支付的数百万的商户,他们真的没有风险了吗?

图片3.png

虽然据了解,微信支付方面已经更新了系统,可是由于商户平台并非需要每天登陆的,导致平台上的商户很多并不知晓有此更新,甚至有些集成商户由于集成商没有任何通知,导致他们至今不知道该如何是好。

图片4.png

以上是嘶吼编辑在事发后与一位电商领域 CEO 的对话,其本人更是一位业内资深开发者。但在问及是否第一时间接到微信的漏洞通知时,他的回复是至今没有听说,对此毫不知情。并且在研究后他告诉我们,从代码层面,虽然看起来这个漏洞不是高危漏洞,但是由于影响范围非常大。 

随着「互联网+」概念的遍地开花,无数「微服务」业务如雨后春笋般出现,比较常见的例如线下吃饭点餐、便利店购物、快捷家政服务等等,倘若这个漏洞在这些方面被恶意利用,定将对这些在支付接口上使用了微信支付老版本的 O2O 平台造成严重的影响,甚至会因此导致他们倒闭跑路。对商家造成巨大经济损失的同时,用户信息也将遭到极大程度上的泄漏。

图片5.png

黑产的窥视

经过以上的讲述,相信大家已经了解了此漏洞可能带来的影响。

没错,从较为表面的层次去分析,好像此漏洞仅会给商户造成损失。

相信不少消费者都会摆出「事不关己,高高挂起」的姿态。

图片6.png

其实,在这里大家都忽视了一个严重的问题,就是「黑产的力量」。

或许该漏洞已经引起了某黑产的注意,在某个不起眼的角落里,正在酝酿一场黑色的风暴。

图片7.png

这绝不会是无稽之谈,虽然一些安全专家都认为此漏洞被完全利用的难度非常大,但这并不代表没有人能够做到。隐藏在暗处的黑产力量不容小视,他们完全有能力去实现任何他们想要达到的目的。

图片8.png

黑产利用漏洞流程图

一旦此漏洞被有能力的黑产成功利用,其后果不堪设想。因为该漏洞并不像表面那样仅对商家造成影响,严重来说,甚至可以威胁到消费者的消费信息及数据。如果黑客由此漏洞找到了商家的服务器并成功侵入,那么消费者的信息数据将面临泄露的风险,从而带来的其他损失更是难以估计。

例如:犯罪分子可以利用漏洞所暴露用户信息去蓄谋诈骗,可直接导致消费者蒙受金钱损失。

所以严谨的说,事情并不像腾讯所说的那样「无伤大雅」,反而是暗藏杀机!

图片9.png

源链接

Hacking more

...