7月3日，國外安全社區(qū)Seclists.Org里一名白帽子披露了微信支付官方SDK存在嚴重的XXE漏洞，可導致商家服務器被入侵，并且黑客可避開真實支付通道，用虛假的支付通知來購買任意產(chǎn)品。另外，陌陌、vivo已經(jīng)驗證被該漏洞影響。

騰訊方面接受記者采訪時表示：“微信支付技術安全團隊已第一時間關注及排查，并于今天中午對官方網(wǎng)站上該SDK漏洞進行更新，修復了已知的安全漏洞，并在此提醒商戶及時更新。請大家放心使用微信支付?！?

一位安全專家告訴記者，影響到支付的漏洞屬于比較嚴重的漏洞，但微信官方反應很快，這種漏洞可以很快得到修復。受影響的可能是唯品會、vivo這種自建平臺類商戶，這類商戶需要及時更新系統(tǒng)；而小的商戶一般使用的是平臺系統(tǒng)，平臺修復升級后，商戶不用操心；另外普通商戶使用的是點對點掃碼轉賬，也不用擔心?！澳男┥虘粜枰墸⑿艖摃ㄖ??！?

支付軟件有哪些安全隱患？

目前在移動支付軟件領域中出現(xiàn)的安全威脅主要有以下5種。

（1）中間人攻擊

通過攔截網(wǎng)絡通信數(shù)據(jù)，進行用戶賬戶、密碼信息的竊取和篡改。

（2）手機掃描二維碼支付寶被盜

若手機掃描了一個含有木馬鏈接的二維碼，并讓用戶向這部手機發(fā)短信。結果，另一部黑客手機接收到了這條短信。此時，如果受害者再用手機號或個人資料去申請支付賬戶“找回密碼”功能，驗證短信都會被轉到黑客手機上。不法分子就能輕而易舉地修改用戶密碼，在用戶不知情的情況下將支付寶里的余額轉走。

（3）網(wǎng)絡釣魚

攻擊者將自己偽裝成銀行或其他知名機構，利用欺騙性的電子郵件等方式誘導收信人提供敏感信息，如信用卡號、賬戶和密碼等。

（4）軟件二次打包

將病毒等惡意代碼以二次打包的方式通過知名手機銀行、第三方支付以及電子商務等軟件進行傳播，竊取用戶的隱私數(shù)據(jù)。

（5）惡意軟件

在用戶不知情的情況下，以某種服務應用程序為載體，安裝到用戶終端后，開展惡意扣費、隱私竊取等惡意行為。

佰佰安全網(wǎng)提醒：這些安全威脅引發(fā)了移動支付中的偽冒交易、惡意轉賬、惡意取現(xiàn)和盜取賬號等安全事件，使移動支付的發(fā)展面臨巨大挑戰(zhàn)。