嘟嘟美甲被曝漏洞 可用电子钱包替别人结账

25.10.2015  11:40
在黑客大赛GeekPwn现场,有极客提交了嘟嘟美甲充值系统的漏洞。在用户发起购买后,商户APP会讲付款请求发送给支付类应用。支付宝称,作为支付行业的一员,我们深刻理解在安全面前谁也无法独善其身,所有支付行业同仁与商户是一个整体,保护用户安全是我们共同的目标。

  在黑客大赛GeekPwn现场,有极客提交了嘟嘟美甲充值系统的漏洞。攻击者利用这一漏洞,可以利用支付宝微信等支付工具替别人结账。

  在用户发起购买后,商户APP会讲付款请求发送给支付类应用。嘟嘟美甲存在的问题是,在发送付款单据的过程中,因为未进行加密,这些数据在APP内有可能被中间人劫持并纂改。

  对此,支付宝回应称,举例说A用户和B用户均在同个(或不同商家)购买了商品,A用户使用的APP在发送付款请求给支付工具时,请求数据在商户App内部被中间人劫持并篡改为B用户实际付款的单据,导致A用户在手机上看到自己在付款,而实际上是为B用户付款。通俗来说,就好比吃饭埋单时被服务员换成了另一桌的单子,拿去收银台付款了。

  支付宝表示,虽然这个漏洞出在商户端,与支付工具无关。但是前段商户App漏洞导致的信息被劫持,会影响到后端所有支付类应用。因此,这一漏洞被披露后支付宝在微博上呼吁所有支付行业同仁一起,来通知商户排查是否存在同样漏洞,并帮助商户共同修复漏洞,控制风险。

  支付宝称,作为支付行业的一员,我们深刻理解在安全面前谁也无法独善其身,所有支付行业同仁与商户是一个整体,保护用户安全是我们共同的目标。站在整个行业和用户的立场上,获知相关情况后,支付宝已第一时间联系这家美甲App,并愿意为其紧急修复提供帮助。(尚紫)