嘟嘟美甲被曝存漏洞 可用电子钱包替别人结账

安全 作者:站内编辑 2015-10-24 08:53:48 阅读:118
Snip20151024_6 新浪科技讯 10月24日下午消息,在黑客大赛GeekPwn现场,有极客提交了嘟嘟美甲充值系统的漏洞。攻击者利用这一漏洞,可以利用支付宝微信等支付工具替别人结账。
在用户发起购买后,商户APP会讲付款请求发送给支付类应用。嘟嘟美甲存在的问题是,在发送付款单据的过程中,因为未进行加密,这些数据在APP内有可能被中间人劫持并纂改。 对此,支付宝回应称,举例说A用户和B用户均在同个(或不同商家)购买了商品,A用户使用的APP在发送付款请求给支付工具时,请求数据在商户App内部被中间人劫持并篡改为B用户实际付款的单据,导致A用户在手机上看到自己在付款,而实际上是为B用户付款。通俗来说,就好比吃饭埋单时被服务员换成了另一桌的单子,拿去收银台付款了。 支付宝表示,虽然这个漏洞出在商户端,与支付工具无关。但是前段商户App漏洞导致的信息被劫持,会影响到后端所有支付类应用。因此,这一漏洞被披露后支付宝在微博上呼吁所有支付行业同仁一起,来通知商户排查是否存在同样漏洞,并帮助商户共同修复漏洞,控制风险。 支付宝称,作为支付行业的一员,我们深刻理解在安全面前谁也无法独善其身,所有支付行业同仁与商户是一个整体,保护用户安全是我们共同的目标。站在整个行业和用户的立场上,获知相关情况后,支付宝已第一时间联系这家美甲App,并愿意为其紧急修复提供帮助。(尚紫)

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

选择AiDeep,让人工智能为你工作:http://www.aideep.com/
四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接