人民网北京7月4日电(丁亦鑫)据IT之家报道,7月3日有网友在国外安全社区公布了微信支付官方软件工具开发包(SDK)存在的严重漏洞截图。此漏洞可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家,无需付费就能购买商品。
该网友还晒出了如何利用漏洞进行“买买买”的截图,中招者是vivo和陌陌。黑客可避开真实支付通道,用虚假的支付通知来购买任意产品,还有泄露用户信息的风险。
对此,微信支付官方暂未发布相关安全公告。腾讯方面表示,微信支付技术安全团队已第一时间关注及排查,并于7月3日对官方网站上该SDK漏洞进行更新,修复了已知的安全漏洞。
大数据安全公司白帽汇方面对微信官方做出的漏洞修复存有疑虑,称微信支付的SDK不具备自动更新机制,目前仍有大量微信商户或受到影响。
责任编辑:刘爽
