新華社7月3日?qǐng)?bào)道，一家網(wǎng)絡(luò)安全機(jī)構(gòu)曝光了一組微信支付的技術(shù)漏洞，據(jù)稱攻擊者可以利用此漏洞將自己偽裝成微信支付平臺(tái)，通過篡改數(shù)據(jù)獲取“0元購(gòu)”權(quán)限。記者3日晚上從微信支付官方渠道獲悉，該漏洞已修復(fù)，商家不必過度恐慌。

據(jù)網(wǎng)絡(luò)安全專家謝偉介紹，從目前的漏洞信息來看，網(wǎng)絡(luò)攻擊者使用微信來支付官方SDK（軟件工具開發(fā)工具包）的漏洞，偽裝成“微信支付平臺(tái)”，然后傳遞微信循環(huán)偽造后直接與商家通信，并在篡改微信支付的正常通信信息后到達(dá)“偷梁換柱”。

謝濤ERP系統(tǒng)

表明正常支付過程應(yīng)該由用戶發(fā)起并通過微信支付平臺(tái)到達(dá)商家。商家將有一個(gè)使用微信支付平臺(tái)確認(rèn)支付結(jié)果的過程，網(wǎng)絡(luò)攻擊者剛剛利用相關(guān)漏洞“欺騙”商家。謝偉認(rèn)為，有些商家的安全保護(hù)水平較低。攻擊者還可以通過漏洞獲取商家密鑰等信息，然后通過此漏洞，可以實(shí)現(xiàn)“將訂單設(shè)置為0元”的操作。商家的消費(fèi)者信息和其他信息的數(shù)據(jù)內(nèi)容被泄露。

互聯(lián)網(wǎng)支付安全專家于迪認(rèn)為，訪問微信付款的商家不必恐慌。于迪表示，該漏洞僅存在于Java版微信的SDK中，電子商務(wù)的安全保護(hù)和權(quán)限設(shè)置相對(duì)較高，完整的攻擊行為仍有很大的局限性。一般情況下，電子商務(wù)通常會(huì)配備相應(yīng)的對(duì)賬平臺(tái)，而且系統(tǒng)也會(huì)有一定的保護(hù)作用。

記者詢問有關(guān)問題的支付微信。安全團(tuán)隊(duì)回復(fù)稱微信支付技術(shù)安全團(tuán)隊(duì)第一時(shí)間關(guān)注并檢查了相關(guān)問題，并在當(dāng)天中午更新了官方網(wǎng)站上的SDK漏洞，修復(fù)了已知安全漏洞]，而微信支付團(tuán)隊(duì)提醒商家及時(shí)更新相關(guān)的安全補(bǔ)丁。