微信支付“0元购”漏洞暗藏杀机，消费者或卷入诈骗风波

7 月 3 日，一位疑似外国安全人员在 Twitter 上公开了微信支付存在的一大漏洞，引起业内轰动。该漏洞一旦被利用，可根据需要窃取商家服务器的任何信息，甚至可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。

举个简单易懂的栗子：

首先我们来看一个没有受到漏洞干扰的微信交易过程：

接下来是被漏洞影响之后，可能发生的交易过程：

（灰色头像的「微信商户平台」是成功利用漏洞后产生的「虚假」的平台，买家为利用漏洞的「坏人」）



在这个过程中，商家无疑被这个恶意买家欺骗了，实际商家并没有收到所谓的「买家」打给微信商户平台的货款！

事件追踪

到目前为止，微信支付被曝技术漏洞这一事件究竟造成了多大损失仍是未知，但此事使很多安全问题浮出水面。微信虽然在第一时间接受媒体采访时称「已经修复了相关漏洞」。不过这个漏洞所影响的使用微信支付的数百万的商户，他们真的没有风险了吗？



虽然据了解，微信支付方面已经更新了系统，可是由于商户平台并非需要每天登陆的，导致平台上的商户很多并不知晓有此更新，甚至有些集成商户由于集成商没有任何通知，导致他们至今不知道该如何是好。



以上是嘶吼编辑在事发后与一位电商领域 CEO 的对话，其本人更是一位业内资深开发者。但在问及是否第一时间接到微信的漏洞通知时，他的回复是至今没有听说，对此毫不知情。并且在研究后他告诉我们，从代码层面，虽然看起来这个漏洞不是高危漏洞，但是由于影响范围非常大。 

随着「互联网+」概念的遍地开花，无数「微服务」业务如雨后春笋般出现，比较常见的例如线下吃饭点餐、便利店购物、快捷家政服务等等，倘若这个漏洞在这些方面被恶意利用，定将对这些在支付接口上使用了微信支付老版本的 O2O 平台造成严重的影响，甚至会因此导致他们倒闭跑路。对商家造成巨大经济损失的同时，用户信息也将遭到极大程度上的泄漏。



黑产的窥视

经过以上的讲述，相信大家已经了解了此漏洞可能带来的影响。

没错，从较为表面的层次去分析，好像此漏洞仅会给商户造成损失。

相信不少消费者都会摆出「事不关己，高高挂起」的姿态。



其实，在这里大家都忽视了一个严重的问题，就是「黑产的力量」。

或许该漏洞已经引起了某黑产的注意，在某个不起眼的角落里，正在酝酿一场黑色的风暴。



这绝不会是无稽之谈，虽然一些安全专家都认为此漏洞被完全利用的难度非常大，但这并不代表没有人能够做到。隐藏在暗处的黑产力量不容小视，他们完全有能力去实现任何他们想要达到的目的。



黑产利用漏洞流程图

一旦此漏洞被有能力的黑产成功利用，其后果不堪设想。因为该漏洞并不像表面那样仅对商家造成影响，严重来说，甚至可以威胁到消费者的消费信息及数据。如果黑客由此漏洞找到了商家的服务器并成功侵入，那么消费者的信息数据将面临泄露的风险，从而带来的其他损失更是难以估计。

例如：犯罪分子可以利用漏洞所暴露用户信息去蓄谋诈骗，可直接导致消费者蒙受金钱损失。

所以严谨的说，事情并不像腾讯所说的那样「无伤大雅」，反而是暗藏杀机！