一条微信支付被曝安全漏洞的消息引发网友热议,随后,微信团队也证实了这则消息,这让全民陷入了移动支付安全性的深思。
移动平台支付确实改变了我们的生活习惯,从以前的出门带现金到现在拿着手机就可以解决一切事情,移动支付带给我们生活极大的便利。特别是支付宝和微信支付两大平台,凭借安全性受到用户青睐,甚至已经走出国门,世界很多个国家和地区都已经可以支持支付宝和微信支付付款。这次微信支付安全漏洞的曝光,让我们对移动支付开启新的思考。
在国外一家安全社区网站上,id名为rose jackcode的用户曝光,微信支付存在安全漏洞,通过java版本中sdk提供callback的功能,攻击者可以通过恶意构建xml格式数据来窃取商家的信息,如果攻击者获取了支付密钥,则可以实现0元支付购买商品。受影响的版本为java sdk,wxpayapi_java_v3,使用这两个版本的商家依然处于被恶意攻击的危险中。目前微信团队已经针对这项漏洞发布安全公告并且提供修复补丁,商家需要及时更新才能确保自己的财产安全。
值得一提的是,在调查中发现,漏洞报告中的顿号均为中文全角,因此不排除rose jackcode是中国人的可能,但是与发现漏洞与平台联系不同,这名黑客将他放在国外论坛上,到底是为了炫耀,还是掩盖自己是中国人,或者已经盗用过这个漏洞进行非法盈利的事实?目前尚无定论。
在这里要跟大家说一下微信支付的原理,在进行微信支付的时候,平台与商家会进行一系列的对话,首先,微信支付平台通过识别商家代码确定是哪家店铺,商家输入支付、收取金额,平台确认后通过输入密码实现支付交易。因此,如果真的可以绕开这一渠道,或者打乱某个途径,在理论上是真的可以实现0元买买买的。
对于商家来说最直观的影响就是会造成经济损失,黑客利用更低的价格甚至0元购买商品,给商家造成经济损失,对于消费者来讲,可能会造成信息的泄露和盗用,可以说,如果真的有人恶意入侵微信支付平台系统,将会造成极大的危害和安全隐患。最直接的就是用户和商家对支付平台安全性的质疑,如果处理不得当,会让微信支付的名誉一落千丈,到时候又会有谁选择使用微信支付呢?更严重的会对移动支付的安全性展开思考,成为造成社会不安定的主要因素。
在漏洞中,rose jackcode提到,陌陌和vivo已经受到影响,陌陌受到牵连的业务可能有微信支付的会员充值,vivo可能为线上平台支付。目前,vivo和陌陌已经宣布修补了这项漏洞,并且在支付安全性上会有提升。不仅是这两家已经中招的企业,其他使用java 平台sdk功能的商家都要进行安全排查。
手机支付比纸币支付简单快捷,如今移动平台支付的发展让我们彻底告别纸币,开启生活新纪元,但是与此同时,我们更要注意移动支付的安全性,微信支付的安全漏洞给我们敲响警钟,不仅仅是我们个人要注意保护自己的密码,支付平台也要加强防火墙的建设,不让不法分子有机可乘。目前,央行已经推出网联平台,保障消费者的账户安全,从今以后网络诈骗和非法业务将会大大减少。
此次微信支付曝光漏洞,与我们的生活息息相关,对于资金安全,我们更要打起十二分的警惕心,不让不法分子钻空子!