又到月初了, 你的花唄賬單還清了嗎?
如果有人告訴你, 現在不用你花一分錢, 就能在各家電商平臺隨便買, 你會相信嗎?
恩, 我知道聰慧的你, 是不會相信天上掉餡餅的~
那如果這個人是黑客呢?
7月3日, 據白帽匯安全研究院的消息, 有網友在國外的安全社區公布了微信支付官方SDK(軟件工具開發包)存在的嚴重漏洞, 此漏洞可導致商家服務器被入侵, 一旦攻擊者獲得商家的關鍵安全密鑰(md5-key和merchant-Id等), 他就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。
在使用微信支付時, 商家需要提供通知網址以接受異步支付結果。
換句話說, 黑客利用微信支付的這個漏洞, 能實現0元買買買的情況。
這并不是說說而已, 這位網友還直接甩出了兩張圖, 展示出漏洞利用的過程, 中招者是vivo和陌陌。
陌陌的微信支付漏洞利用過程
vivo的微信支付漏洞利用過程
值得注意的是, 目前漏洞的詳細信息以及攻擊方式已被公開, 安全人員建議使用JAVA語言SDK(軟件開發工具包)開發微信支付功能的商戶, 快速檢查并修復。 (此處解釋一下, 微信官方發布了自己的微信支付開發包, 許多開發人員選擇使用官方最新版本, 一般來講,
那么, 微信支付的官方SDK究竟誰會用?范圍多大?為什么黑客選擇陌陌和vivo開刀?商家和用戶會受到哪些影響?知道這個漏洞的黑客為什么不自己“悶聲發大財”, 而要選擇將攻擊方式公開?
誰會用到微信支付的SDK
文章開頭提到, 這個漏洞是關于微信支付的官方SDK的, 那究竟誰會用到此類SDK呢?
白帽匯安全總監“BaCde” 告訴宅客頻道, 所有需要開通微信支付的商家都很有可能用到!
比如, 我們平時使用微信支付的時候, 都會有一個付款的二維碼, 或者網購的時候,
微信支付:你是哪家店?
面包店:我是某某面包店, 我的代號是***
微信支付:訂單是你生成的嗎?
面包店:是的。
微信支付:我收到了50塊, 錢數對嗎?
面包店:對的。
微信支付:對的話你們訂單系統趕緊處理一下, 人家付款成功了。
面包店:好的, 這就處理。
這個過程叫“商戶回調接口”, 也就是說, 所有的商戶要想開通微信支付, 不管是線上還是線下的, 都需要通過與微信支付的這個接口來交流, 這個接口有一套標準的定義, 比如訂單號、用戶信息、價格等, 最后有一個簽名來保證雙方交易的真實可靠。
這時, 微信官方為了方便商戶, 一般都會有一個官方的SDK, 來使得各家商戶更加順暢和安全地接入微信支付, 這時, 這個SDK開發包就存在了這些商戶的服務器上, 與此同時, 開發包的漏洞也就直接影響了商戶服務器的安全性。
如果有一天, 黑客利用SDK上面的漏洞控制了商家的服務器, 那么這些訂單狀態、用戶信息和價格等就很有可能被黑客拿走并且進行篡改。
那黑客為什么選擇陌陌和vivo來開刀呢?聽起來, 這兩家一個是手機廠商, 一個是社交軟件, 和我們平時刷二維碼或者網購的某某商家還是有區別。
BaCde 解釋, vivo這個可能是vivo的在線商城, 比如黑客可以用微信支付不花一分錢來買走在線商城的東西。 而對于陌陌中招,
所以, 也許這名攻擊者是經常用vivo手機的單身狗?
商戶、用戶和黑客
如果你是一名商戶, 會有哪些影響?
以在線商城的商戶為例, 如果你所應用的語言是JAVA(目前漏洞針對的是JAVA), 接入微信支付功能的第一步, 首先要在微信的官方網站找到 JAVA 語言的 SDK 開發包, 當開發人員編寫不規范而開發出有漏洞的微信支付功能, 黑客發現后, 就可通過竊取商戶信息, 進而偽造網絡請求進行0元購買商品的操作, 以及獲取數據信息。
這里要強調一下, 雖然這里的開發人員是商戶的開發人員, 但其根本原因還是由于微信支付的SDK在某處存在安全問題, 所以要解決漏洞, 還得從官方的SDK來解決。
如果我是普通的用戶呢?
最直接的影響就是,你在商家后臺的用戶信息已經被暴露了,而黑客拿到這些信息可以去暗網上兜售。緊接著,你成為了垃圾信息的受害者。
而對于黑客來說,通過這個漏洞,不僅可以0元買買買,還可以通過倒賣用戶信息小賺一筆。
漏洞影響
目前,陌陌和 vivo 已經修復了相關的漏洞,但針對此漏洞,微信官方并未發布相關安全公告,也沒有更新微信支付的SDK版本。
也就是說,所有使用微信支付官方SDK的商戶,并且語言是JAVA的,都還處于被攻擊的危險之中。
那既然微信官方都沒修復,陌陌和vivo是怎么修復的?
BaCde解釋,陌陌和vivo本身有相應的安全能力,可以修改SDK的相應代碼進行修復,自行解決。但如果是一些小的商戶,就沒有這個能力了。
據悉,雖然目前該漏洞影響的是JAVA版本的SDK,但歷史上已經出現過PHP版本的SDK存在同樣的漏洞。據BaCde透露,這次的漏洞是XML外部實體注入漏洞,即當允許引用外部實體時,通過構造惡意內容,可導致讀取任意文件、執行系統命令、探測內網端口、攻擊內網網站等危害。
對于攻擊者來說,這么好的賺錢機會,悶聲發大財就好了,為什么要選擇公開攻擊方式?
據白帽匯創始人趙武推測,直接公開這種級別的大殺器確實太不尋常,他這樣做的原因,不排除是黑客在利用漏洞的過程中發現痕跡擦不干凈,有可能被查出來,所以馬上對外公布,讓廣大黑客群體發起攻擊,以便淹沒自己最初的攻擊,達到隱藏自己的效果。
值得注意的是,雖然這篇在國外網站上的披露文章是英文的,但是其技術人員用了中文的標點符號,很有可能是國內的技術人員冒充外國人發的攻擊詳情。
騰訊已經知曉漏洞
目前,該漏洞在推特上也有安全人員提出來了,這位仁兄可能不太認識騰訊的安全小哥,直接@360來尋人,然后360把漏洞的鏈接發給了騰訊的人,認證為騰訊安全響應中心的人也在推特下面進行了回復,表示正在處理。
消息來源:白帽匯,推特
漏洞詳情及演示過程:http://seclists.org/fulldisclosure/2018/Jul/3
---
“喜歡就趕緊關注我們”
宅客『Letshome』
雷鋒網旗下業界報道公眾號。
專注先鋒科技領域,講述黑客背后的故事。
長按下圖二維碼并識別關注
如果我是普通的用戶呢?
最直接的影響就是,你在商家后臺的用戶信息已經被暴露了,而黑客拿到這些信息可以去暗網上兜售。緊接著,你成為了垃圾信息的受害者。
而對于黑客來說,通過這個漏洞,不僅可以0元買買買,還可以通過倒賣用戶信息小賺一筆。
漏洞影響
目前,陌陌和 vivo 已經修復了相關的漏洞,但針對此漏洞,微信官方并未發布相關安全公告,也沒有更新微信支付的SDK版本。
也就是說,所有使用微信支付官方SDK的商戶,并且語言是JAVA的,都還處于被攻擊的危險之中。
那既然微信官方都沒修復,陌陌和vivo是怎么修復的?
BaCde解釋,陌陌和vivo本身有相應的安全能力,可以修改SDK的相應代碼進行修復,自行解決。但如果是一些小的商戶,就沒有這個能力了。
據悉,雖然目前該漏洞影響的是JAVA版本的SDK,但歷史上已經出現過PHP版本的SDK存在同樣的漏洞。據BaCde透露,這次的漏洞是XML外部實體注入漏洞,即當允許引用外部實體時,通過構造惡意內容,可導致讀取任意文件、執行系統命令、探測內網端口、攻擊內網網站等危害。
對于攻擊者來說,這么好的賺錢機會,悶聲發大財就好了,為什么要選擇公開攻擊方式?
據白帽匯創始人趙武推測,直接公開這種級別的大殺器確實太不尋常,他這樣做的原因,不排除是黑客在利用漏洞的過程中發現痕跡擦不干凈,有可能被查出來,所以馬上對外公布,讓廣大黑客群體發起攻擊,以便淹沒自己最初的攻擊,達到隱藏自己的效果。
值得注意的是,雖然這篇在國外網站上的披露文章是英文的,但是其技術人員用了中文的標點符號,很有可能是國內的技術人員冒充外國人發的攻擊詳情。
騰訊已經知曉漏洞
目前,該漏洞在推特上也有安全人員提出來了,這位仁兄可能不太認識騰訊的安全小哥,直接@360來尋人,然后360把漏洞的鏈接發給了騰訊的人,認證為騰訊安全響應中心的人也在推特下面進行了回復,表示正在處理。
消息來源:白帽匯,推特
漏洞詳情及演示過程:http://seclists.org/fulldisclosure/2018/Jul/3
---
“喜歡就趕緊關注我們”
宅客『Letshome』
雷鋒網旗下業界報道公眾號。
專注先鋒科技領域,講述黑客背后的故事。
長按下圖二維碼并識別關注