7月第1周業務風控關注 | 微信支付SDK被曝XXE漏洞,可竊取商家金鑰偽造訂單

網易易盾發表於2018-07-06

易盾業務風控週報每週呈報值得關注的安全技術和事件,包括但不限於內容安全、移動安全、業務安全和網路安全,幫助企業提高警惕,規避這些似小實大、影響業務健康發展的安全風險。


1.微信支付SDK被曝XXE漏洞,可竊取商家金鑰偽造訂單


國外一名白帽子使用者發現一個微信支付漏洞,但改名使用者卻在Twitter上聯絡了360NetLab團隊。360安全人員向微信團隊轉達了這一訊息。

7月第1周業務風控關注 | 微信支付SDK被曝XXE漏洞,可竊取商家金鑰偽造訂單

白帽子給出的漏洞描述,使用微信支付時,商家需要提供通知網址以接受非同步支付結果。
問題是微信在JAVA版本SDK中的實現存在一個xxe漏洞。 攻擊者可以向通知URL構建惡意payload,根據需要竊取商家伺服器的任何資訊。
一旦攻擊者獲得商家的關鍵安全金鑰(md5-key和merchant-Id等),就可以透過傳送偽造資訊來欺騙商家購買任何東西而無需付費。

微信安全團隊表示“已經在緊急跟進這個問題”。


2.23歲男子自建吃雞外掛交易平臺 5個月訂單金額達2300萬

喜歡玩“吃雞”端遊的玩家們,肯定經常被各種穿牆鎖頭無後座的外掛所困擾,而這些開掛的玩家是從哪裡獲取外掛程式的呢?7月3日,四川資陽市公安局雁江區分局通報稱,在雁江區抓獲一名搭建外掛交易網站的嫌疑人王某。王某透過搭建“髮卡啦自動髮卡平臺”獲取非法佣金。目前該平臺有15000個註冊商家,5個月完成了65萬個訂單,交易額達到2300萬,他從每筆交易中抽取2%的手續費,共收取非法佣金46萬。​

3.Facebook使用者資料洩露再升級 承認與61家公司共享使用者資料

據外媒報導,Facebook日前在向美國國會議員提交的747頁檔案中承認,授予61家公司為期6個月的“一次性”訪問使用者資料許可權,以換取它們配合Facebook對使用者資料進行政策調整。包括美國線上(AOL)、耐克(Nike)、聯邦包裹服務(UPS)和約會應用Hinge等。


除此以外,繼劍橋分析事件後,facebook又被爆出資料洩露醜聞。由http://NameTests.com開發的問答APP

NameTests,同時還開發了諸多社交問答,比如“你是哪個迪士尼公主”,這款尤其在全球有12000萬月活使用者,他們會從facebook快速登陸。登陸後,應用可以從facebook獲取使用者的資料資訊。

但安全研究員發現,由於錯誤的安全配置,這些使用者資訊可以被其他網站輕易獲取。攻擊者只需要利用瀏覽器的CORS策略就可以讀取使用者的資料資訊。


聯邦政府將持續對資料洩露問題進行調查,在調查結束後,Facebook可能面臨數十億美元的罰款。

4.入侵Gentoo GitHub 賬號的攻擊者在構建指令碼里加入 rm -rf /* 命令


Linux發行版Gentoo在GitHub的映象被駭客入侵併接管,攻擊者隨後對 Gentoo 的程式碼進行大肆修改,包括惡意在構建指令碼 ebuild 里加入 rm -rf /* 命令。現在,Gentoo 專案公佈了詳細的事故調查報告:


攻擊發生在6月28日 20:19,攻擊者使用管理員密碼登入,隨後建立了有管理訪問許可權的賬號,著手踢出合法使用者其中包含維護者——正是這一舉動導致了入侵曝光並引起了Gentoo 專案的注意,它的 GitHub 賬號只是該組織的映象,但移除使用者會讓使用者收到通知,所以到 20:29 Gentoo
專案開始調查此事。 攻擊者從 20:34 開始修改檔案,20:50 在所有 ebuild 加入 rm -rf /* 命令,21:05 Gentoo 專案向 GitHub 支援遞交報告,21:28 Gentoo GitHub 賬號凍結。攻擊者顯然有點業餘,整個入侵過程只持續了一個多小時。


5.新銀行木馬專門竊取證照、密碼等敏感資訊


思科網路安全團隊Talos的研究人員最近發現了一種新的銀行木馬,這種新型木馬病毒透過散佈一些看似軟體公司開出的賬單請求、實則為惡意軟體的網路釣魚郵件,從而竊取受害者PC上的銀行證照、密碼和其他敏感資訊。

該木馬最初透過惡意Word附件進行攻擊,該附件欺騙使用者允許宏命令,允許在受攻擊的系統上安裝SmokeLoader,並允許木馬傳送其他惡意軟體。

安全團隊表示,及時安裝補丁以及對第三方訊息保持警惕能有效減少攻擊威脅。


6.主流交易所場外OTC平臺存高危漏洞


7月4日晚間,區塊鏈安全公司PeckShield發出安全警告稱:發現某主流數字貨幣交易所提供的場外OTC平臺存在安全漏洞並命名為“tradeRifle”,攻擊者可利用此漏洞介入數字貨幣交易流程,竊取平臺使用者的數字資產,給使用者和交易所帶來嚴重的安全威脅。


PeckShield研究人員已經確認了該漏洞的存在,並向相關的數字貨幣交易所發出高危預警,同時呼籲開展OTC業務的交易所儘快與PeckShield取得聯絡,協同修復此安全漏洞,採取必要的措施以避免可能造成的嚴重損失。

7.LTE標準存在安全問題,駭客可劫持使用者流量資料


來自魯爾大學波鴻分校和紐約大學阿布扎比分校的一個研究團隊發現了LTE標準中的一些安全問題,它可以被APT攻擊者利用來窺探使用者的流量資料。LTE標準目前被全球數十億人使用,與其他標準相比,其實它已經包含了許多安全改進。

據悉,研究人員將在2019年的IEEE大會期間分享該發現的全部細節。

8.Adidas數百萬使用者資料洩漏


運動服裝製造商阿迪達斯宣佈了一項資料洩露事件,該公司指出對使用其美國網站的購物者產生了影響。該公司表示,在6月26日星期二得知有一方聲稱已獲得阿迪達斯客戶的詳細資訊後,該公司發現了此次資訊洩露行為。

“根據初步調查,洩露的資訊僅限於聯絡資訊,使用者名稱和加密密碼,”阿迪達斯發言人說到。“阿迪達斯沒有相信這些消費者的信用卡或身體資訊受到影響。”他補充說。但一些新聞媒體如哥倫比亞廣播公司,華爾街日報和彭博社報導的內部訊息稱“數百萬”的阿迪達斯客戶可能會受到影響。


點選免費試用網易雲易盾安全服務


相關文章