新華社7月3日報道，一家網(wǎng)絡安全機構(gòu)曝光了一組微信支付的技術(shù)漏洞，據(jù)稱攻擊者可以利用此漏洞將自己偽裝成微信支付平臺，通過篡改數(shù)據(jù)獲取“0元購”權(quán)限。記者3日晚上從微信支付官方渠道獲悉，該漏洞已修復，商家不必過度恐慌。

據(jù)網(wǎng)絡安全專家謝偉介紹，從目前的漏洞信息來看，網(wǎng)絡攻擊者使用微信來支付官方SDK（軟件工具開發(fā)工具包）的漏洞，偽裝成“微信支付平臺”，然后傳遞微信循環(huán)偽造后直接與商家通信，并在篡改微信支付的正常通信信息后到達“偷梁換柱”。

謝濤ERP系統(tǒng)

表明正常支付過程應該由用戶發(fā)起并通過微信支付平臺到達商家。商家將有一個使用微信支付平臺確認支付結(jié)果的過程，網(wǎng)絡攻擊者剛剛利用相關(guān)漏洞“欺騙”商家。謝偉認為，有些商家的安全保護水平較低。攻擊者還可以通過漏洞獲取商家密鑰等信息，然后通過此漏洞，可以實現(xiàn)“將訂單設(shè)置為0元”的操作。商家的消費者信息和其他信息的數(shù)據(jù)內(nèi)容被泄露。

互聯(lián)網(wǎng)支付安全專家于迪認為，訪問微信付款的商家不必恐慌。于迪表示，該漏洞僅存在于Java版微信的SDK中，電子商務的安全保護和權(quán)限設(shè)置相對較高，完整的攻擊行為仍有很大的局限性。一般情況下，電子商務通常會配備相應的對賬平臺，而且系統(tǒng)也會有一定的保護作用。

記者詢問有關(guān)問題的支付微信。安全團隊回復稱微信支付技術(shù)安全團隊第一時間關(guān)注并檢查了相關(guān)問題，并在當天中午更新了官方網(wǎng)站上的SDK漏洞，修復了已知安全漏洞]，而微信支付團隊提醒商家及時更新相關(guān)的安全補丁。