微信支付曝“0元购”漏洞 安全团队回应称已修复

近日，某收藏安静组织曝光了一组微疑的技术缺陷。据悉，入侵者可以 *** 纵这一漏洞伪装成微疑，通过全程篡改数据和信息获得“0元买入”的权利。3日上午，记者从微疑了解到，该漏洞已经修复，店家无需太过惊讶。

根据收集宁静的权威专家陈开的推荐，从今天公开的漏洞来看，攻击者已经控制了现有SDK(硬件配置项开发包)中的漏洞，伪装成“为微疑付费的平台”，然后通过微疑整个流程中的漏洞伪造来自店铺的间接传播。在篡改了由最轻微的怀疑所支付的一般传播怀疑之后，他们已经达到了“改变形式和形象”的总体目标。

陈开暗示，一般的付款步骤应该由顾客提出。有点怀疑之后，店铺会有一个带着一点怀疑，一点关注来确定付费效果的过程，而收集侵略者正好控制了相关的破绽，“骗”过去的商家店铺。陈开认为，一些商店的安静安全保护程度很低，入侵者可以通过整个过程获得商店的秘密密钥。那么，通过整个流程，哪个破绽能真正实现“设置订单为零元”等控制。不看好的会泄露消费者对店铺的秘密兴趣等数据和信息内容。

收藏宁静的权威专家于迪认为，对于收到微疑的商家和店铺，不必过于惊讶。于迪暗示，这个漏洞只存在于Java版本号的SDK中，电商的安静安全保护和权限管理相对较低，所以原封不动的入侵只属于借用范畴。一般情况下，电商的管理系统也会起到一定的安全防护作用，即使有审核台也会应对武器装备。

澎湃新闻记者在一封信中询问了封闭测试的结果，安静精英团队回复称，封闭测试的安静精英团队已经在第一时间关注并核查了封闭测试的结果，并于当天中午停止了对民院网站SDK漏洞的升级，并对已知的安静漏洞进行了重建。此外，安静精英团队提醒店铺，应自动更新相关安静补丁。