最近微信支付在网上曝光，直接在买买买不花钱。很多小伙伴对这件事都不是很清楚，大家都在问这个，到底是怎么回事？有什么影响？边肖将为大家详细介绍这件事！

昨天，有用户公布了国外安全社区微信支付官方SDK(软件工具开发包)存在严重漏洞。这个漏洞会导致商家服务器被入侵。一旦攻击者获得商家的密钥安全密钥，他就可以通过发送伪造信息来欺骗商家，而无需支付任何费用。

用户还直接抛出了如何在buy buy中使用漏洞进行购买的截图，并演示了演示中使用的vivo和Momo。利用这个漏洞，黑客不仅可以在0元内购买，还存在泄露用户信息的风险。中枪的人是维沃和莫莫。

Vivo的微信支付利用流程

Momo微信支付漏洞利用流程

针对此漏洞，微信支付并未发布相关安全公告。对此，腾讯回应媒体称：微信支付技术安全团队第一时间关注调查，中午更新官网SDK漏洞，修复已知安全漏洞，提醒商家及时更新。请随意使用微信支付。

值得注意的是，漏洞细节和攻击方式已经公开，安全人员建议使用JAVA Language SDK(软件开发工具包)开发微信支付功能的商家快速检查修复。(这里解释一下，微信正式发布了自己的微信支付开发包，很多开发者选择使用最新的官方版本。一般来说，SDK是根据编程语言来区分的。如果网站使用相同的语言，其开发使用相应的语言。但是也有特殊情况，就是用开源或者自己开发的产品代替官方开发包，比较少见。)

那么，谁会用微信支付的官方SDK呢？范围是什么？黑客为什么选择Momo和vivo操作？企业和用户会受到怎样的影响？为什么知道这个漏洞的黑客不自己“闷声发大财”，而是选择把攻击方法公之于众？

谁会用到微信支付的SDK

白帽交易所安全总监BaCde:所有需要开通微信支付的业务都有可能使用SDK！

比如我们平时用微信支付的时候，总是有一个二维码进行支付，或者我们在网上购物的时候，也有微信支付的渠道。这就需要商家与微信支付建立专属渠道。以你买面包为例。扫码的瞬间，微信支付和商家的对话是这样的：

这个过程叫做“商户回拨接口”，也就是说所有想开通微信支付的商户，无论是线上还是线下，都需要通过这个接口与微信支付进行沟通，这个接口有一套标准的定义，比如订单号、用户信息、价格等。并最终有签名保证双方交易的真实性和可靠性。

这个时候，为了方便商家，微信官方通常会有一个官方的SDK，让商家更顺畅、更安全地接入微信支付。此时这些商家的服务器上都存在着SDK开发包，同时开发包中的漏洞直接影响到商家服务器的安全性。

如果有一天，黑客利用SDK的漏洞控制了商家的服务器，很有可能订单状态、用户信息和价格都会被黑客拿走并篡改。

根据BaCde的说法，由于微信官方SDK的问题，目前所有用户都是基于微信支付JAVA？SDK开发的微信支付功能可能会受到影响。

那黑客为什么选择Momo和vivo来操作呢？听起来这两家公司一家是手机厂商，一家是社交软件，跟我们平时刷二维码或者网上买的某某业务还是有区别的。

BaCde解释说，vivo可能是vivo的线上商店。比如黑客可以通过微信支付，不用花一分钱就能在网店买东西。至于Momo，有可能可以通过微信支付给会员充值，存在漏洞可以利用。

那么，可能这个攻击者是单身狗，经常用他的vivo手机？

商户、用户和黑客

如果你是商家，会有什么影响？

以网上商城的商家为例。如果你使用的语言是JAVA(目前漏洞针对的是JAVA)，那么进入微信支付功能的第一步就是在微信官网找到JAVA语言的SDK开发包。当开发者不定期编写，开发有漏洞的微信支付功能时，黑客可以窃取商家信息，然后伪造网络请求购买0元商品，获取数据信息。

这里需要强调的是，这里的开发者虽然是商家的开发者，但根本原因是微信支付的SDK在某个地方存在安全问题，所以要解决漏洞，还得从官方的SDK解决。

如果我是普通的用户呢？

最直接的影响就是你在商业后台的用户信息已经暴露，黑客可以获取这些信息，在暗网上兜售。然后，你成了垃圾邮件的受害者。

对于黑客来说，通过这个漏洞，他们不仅可以在买买买，0元，还可以通过倒卖用户信息赚取微薄的利润。

漏洞影响

目前发现Momo和vivo已经修复了相关漏洞。但对于该漏洞，微信官方并未发布相关安全公告，也未更新微信支付的SDK版本。

也就是说，凡是用微信支付官方SDK，语言为JAVA的商家，仍然有被攻击的危险。

既然微信官方还没有修复，Momo和vivo是怎么修复的？

BaCde解释说，Momo和vivo都有相应的安全能力，可以通过修改SDK的相应代码进行修复，自行解决。然而，如果他们是小企业，他们将无法这样做。

据悉，虽然该漏洞目前影响到了JAVA版本的SDK，但PHP版本的SDK在历史上也有过同样的漏洞。根据BaCde的说法，该漏洞是XML中外部实体的注入漏洞，即当允许引用外部实体时，可以构建恶意内容，从而导致读取任意文件、执行系统命令、检测内网端口、攻击内网网站等危害。

对于攻击者来说，有这么好的赚钱机会发大财是好事。为什么选择公开攻击？

根据白帽交易所创始人吴钊的说法，直接披露这种级别的杀手真的很不寻常。他这样做的原因是黑客在钻漏洞的过程中发现了不干净的痕迹，可能会被发现。所以会立即公布，让黑客发起攻击，从而淹没自己最初的攻击，达到隐藏自己的效果。

值得注意的是，虽然国外网站上披露的文章是英文的，但其技术人员使用的是中文标点符号，很有可能是国内技术人员以外国人身份发送的攻击细节。

腾讯已经知晓漏洞

目前发现该漏洞也是安全人员在推特上提出的。这家伙可能不太了解腾讯的安全兄弟，直接去@360找人，然后360把漏洞链接发给腾讯的人。被认证为腾讯安全应对中心的人也在推特下回复，称正在处理。

在这里，边肖想说的是，这个小黑客，无论在国内还是国外，一直都很友好，没有利用这个漏洞“发大财”。他是一个有良心的黑客！估摸着这小哥一定是个有个性的技术牛！你怎么想呢？