漏洞消息曝出后,微信支付官方对外表示漏洞已修复,商家不必过度恐慌。之后又进一步回复称,「该漏洞为常见漏洞,此次问题服务器实际影响范围不大,完全可控。」然而,事实可能并不像微信官方说的那样云淡风轻。如今漏洞被曝已过去十天,我们采访了盘古实验室的技术专家,通过测试后发现,大量商户依然暴露在漏洞下,很多对此甚至毫无感知,并非如官方所称的「完全可控」。这是怎么一回事呢?
【盘古实验室:上海犇众信息技术有限公司组建,以盘古团队为核心的安全实验室。实验室在移动互联网领域开展了广泛的安全研究,团队成员来自国内外顶级安全公司, 拥有多年信息安全研究和开发经验。在主流操作系统和核心软件产品中发现过数百个安全漏洞, 并且是国内第一个独立开发出 iOS 完美越狱的团队。】
亲测:影响并未可控大量商户仍暴露在漏洞下
在代码托管平台 Github、码云、和盘古的移动安全威胁数据平台 Janus 上,盘古实验室搜寻漏洞函数以及 notify 关键字等,很容易就能找到存在漏洞的商家。如代码中出现 notify_url=http://xxx,出现这个以后不用看代码逻辑,可进行黑盒批量测试进行捡漏;发现 notify 接口函数调用了微信 sdk 存在漏洞版本的 WXPayUtil.xmlToMap 函数,或者商户自己实现 xml 解析函数但未禁用外部实体。这样的商户就是依然存在漏洞的。
【Janus平台:是盘古团队一个汇聚海量移动应用的平台,通过对应用进行分析,来发现不同应用之间的特征和关联关系,也称作移动应用威胁情报平台。】
在以上商家中,包含多个移动应用定制开发平台,也就是说,使用这个平台开发的点餐、缴费系统的用户,都暴露在巨大的风险之中。盘古的 Janus 平台上的数据显示,同一商家可能开发多款应用,因此受影响的应用数量远远高于商户的数量。所以无论是商家还是开发者,都将承受巨大的风险考验。
由于微信支付接入的商家数量达到上百万,使用微信支付老版本的商户不在少数。虽然微信官方更新了系统,可是由于商户平台并非需要每天登陆的,很多商户并不知晓有此更新,甚至有些集成商户由于集成商没有任何通知,导致他们至今不知道该如何是好。所以目前在商家端,微信「0 元购」这个漏洞风险依然十分巨大,有被不法分子搬空的风险。不知道自己是否安全的商户,可以按这个办法搜索监测一下。
警示:「互联网+」时代小商户应提高安全能力
随着「互联网+」时代的到来,越来越多的线下商户开始向网上迁移。实际上,使用了大平台提供的接口和工具的这些商户「互联网+」水平非常有限,尤其是应对网络安全的能力。这就要求大平台在面对漏洞等网络安全事故时,切实地对生态体系内的小商户负责其责任来,不是简单的自己一修了之。
鉴于目前「0 元购」的漏洞依然普遍存在,在这里呼吁:一是广大商户赶紧自查,二是微信应切实地负起责任来,通知并帮助相关商户修复漏洞。
领取专属 10元无门槛券
私享最新 技术干货