微信支付曝光“0元购买”漏洞安全团队回复称已修复

新华社7月3日报道，一家网络安全机构曝光了一组微信支付的技术漏洞，据称攻击者可以利用此漏洞将自己伪装成微信支付平台，通过篡改数据获取“0元购”权限。记者3日晚上从微信支付官方渠道获悉，该漏洞已修复，商家不必过度恐慌。

据网络安全专家谢伟介绍，从目前的漏洞信息来看，网络攻击者使用微信来支付官方SDK（软件工具开发工具包）的漏洞，伪装成“微信支付平台”，然后传递微信循环伪造后直接与商家通信，并在篡改微信支付的正常通信信息后到达“偷梁换柱”。

谢涛ERP系统

表明正常支付过程应该由用户发起并通过微信支付平台到达商家。商家将有一个使用微信支付平台确认支付结果的过程，网络攻击者刚刚利用相关漏洞“欺骗”商家。谢伟认为，有些商家的安全保护水平较低。攻击者还可以通过漏洞获取商家密钥等信息，然后通过此漏洞，可以实现“将订单设置为0元”的操作。商家的消费者信息和其他信息的数据内容被泄露。

互联网支付安全专家于迪认为，访问微信付款的商家不必恐慌。于迪表示，该漏洞仅存在于Java版微信的SDK中，电子商务的安全保护和权限设置相对较高，完整的攻击行为仍有很大的局限性。一般情况下，电子商务通常会配备相应的对账平台，而且系统也会有一定的保护作用。

记者询问有关问题的支付微信。安全团队回复称微信支付技术安全团队第一时间关注并检查了相关问题，并在当天中午更新了官方网站上的SDK漏洞，修复了已知安全漏洞]，而微信支付团队提醒商家及时更新相关的安全补丁。