微信支付被曝漏洞 国外爆料却出现中文符号或另有玄机

微信支付被曝漏洞。移动支付时代初期，普及的最大阻碍就是人们对其安全性的怀疑。随着时间的推移和使用范围的扩大，大家开始认为，手机支付比每天带现金上街更加安全。然而，近期微信支付爆出的漏洞，又唤起了人们最原始的担忧。

昨日，ID为Rose Jackcode的用户在国外安全社区上http://SECLISTS.ORG曝出，微信支付存在巨大漏洞。微信在JAVA版本的SDK中提供callback回调功能，用来帮助商家接收异步付款结果，该接口接受XML格式的数据，攻击者可以构造恶意的回调数据(XML格式)来窃取商家服务器上的任何信息。一旦攻击者获得了关键支付的安全密钥，将可以直接实现0元支付购买任何商品。

截至目前，微信既未发布相关安全公告，也没有更新微信支付SDK版本。换句话说，所有使用微信支付官方SDK的商户，并且语言是JAVA的，都还处于被攻击的危险之中。

腾讯方面则表示，“微信支付技术安全团队已第一时间关注及排查，并于中午对官方网站上该SDK漏洞进行更新，修复了已知的安全漏洞，并在此提醒商户及时更新。请大家放心使用微信支付。”

有意思的是，白帽汇安全研究院发现，该用户的报告中使用的顿号皆为中文全角符号，这说明，爆料人很有可能是中国人。众所周知，大多数公司对于提交安全漏洞的人员都有奖励。业内有观点认为，爆料人之所以没有和微信沟通，而是上外国论坛爆料，很可能是因为他利用了这个漏洞却抹不掉痕迹，希望吸引黑客潮掩盖自己。