有白帽駭客在國外資安論壇Full Disclosure 公布他所找到的微信支付SDK 漏洞,稱該漏洞可以入侵商家的伺服器,一旦攻擊者獲得了安全密鑰,就可以發送偽造過的訊息欺騙商家,達成免付費購買物品的目的。
該網友把過程跟做法貼在網路上,表示在使用微信支付時,商家的伺服器會提供一組通知網址以接收異步付款的結果,但是Java 版本的SDK 存在一個XXE 漏洞(註),有心者可以對那個通知網址進行攻擊,然後竊取商家伺服器的必要訊息,並偽造訊息欺騙商家,藉此達成零付費購買物品的目的。
而除了披露相關的漏洞與攻擊模式以外,該白帽駭客還實際操作了攻擊方式,而對象就是Vivo 跟陌陌,Vivo 的線上商城支援微信支付,而陌陌本身是社交軟體,但該軟體也可以透過微信支付儲值,白帽駭客挑選這兩個程式,就代表線上商城購買實體或者是軟體充值都有可能受到這個漏洞的影響。
有趣的是,雷鋒網發現該駭客在使用標點符號的時候,不小心遺留了一個全型的標點符號,因此雷鋒網認為這個駭客本身應該是中國國內的技術人員偽裝外國技術人員發表。目前微信表示該漏洞已經緊急修復完畢,不過這也曝光了在行動支付時代中,這樣的問題也會層出不窮。
▲ (Source:雷鋒網)
2018 年過年期間支付寶也出現過漏洞,在過年支付寶紅包發放的時候,有兩個年輕人卻找到方法領了多次紅包,獲利達90 萬人民幣。
註:XXE 漏洞為應用程式解析XML 的訊息輸入時,沒有禁止外部的加載,導致攻擊者可以輕易在這裡面加載外部的惡意的外部程式或檔案資料,藉以達成攻擊者的目的。
(首圖來源:shutterstock)
