微信支付曝“ 0 元购”漏洞，安全团队称已修复

有网络安全机构曝光了一组 微信 支付的技术漏洞，据称攻击者可利用该漏洞将自己伪装成微信支付平台，通过篡改数据的方式获得 "0 元购 " 特权。从微信支付官方渠道获悉，该漏洞已修复，商家不必过度恐慌。

据网络安全专家谢忱介绍，从当前被公开的漏洞信息来看，网络攻击者是利用了微信支付官方 SDK（软件工具开发包）存在的漏洞，将自己伪装成 " 微信支付平台 "，继而通过微信的漏洞伪造与商户的直接通信，在篡改微信支付的正常通信信息后达到 " 偷梁换柱 " 的目的。

谢忱表示，正常的支付流程应该是由用户发起，经由微信支付平台到达商家，商家会有一个与微信支付平台确认支付结果的过程，而网络攻击者恰恰是利用了相关漏洞 " 骗 " 过了商户。谢忱认为，一些商家的安全防护水平较低，攻击者还可通过该漏洞获取商户的密钥等信息，再通过这个漏洞就可以实现 " 将订单设置为 0 元 " 等操作，严重者还会导致该商户的消费者信息等数据内容泄漏。

网络支付安全专家于迪则认为，接入微信支付的商户不必过度恐慌。于迪表示，该漏洞只存在于微信支付 Java 版本的 SDK 中，并且电商的安全防护及权限设置较高，完整攻击行为还存在较大的局限性。一般情况下，电商通常也会配备相应的对账平台，该系统也会有一定的防护作用。

记者就有关问题函询了微信支付方面，其安全团队回函称：微信支付技术安全团队已第一时间关注及排查有关问题，并于当天中午对官方网站上的 SDK 漏洞进行了更新，修复了已知安全漏洞，同时微信支付团队提醒商户应及时更新相关安全补丁。

【来源：新浪 科技 】