近日阿里安全獵戶座實驗室和潘多拉實驗室發(fā)現(xiàn)微信存在一款有嚴(yán)重風(fēng)險的漏洞�����,攻擊者只需發(fā)一條消息就可以完整克隆受害者的微信賬號及其聊天記錄��,并實現(xiàn)微信錢包支付和竊取隱私信息的操控�,阿里安全實驗室第一時間將漏洞信息上報給了國家相關(guān)部門和同步給了騰訊公司。
漏洞克隆微信操控賬號演示圖
2月12日����,騰訊微信團隊通過公號“微信派”對外推文承認(rèn)漏洞存在,并表示已于2月9日針對該漏洞緊急進(jìn)行了版本更新�����,提醒微信用戶盡快升級至6.6.3版本����,文章還對阿里安全團隊及時提交和反饋漏洞的行為表示了感謝��。
漏洞攻擊的演示視頻顯示�,微信受害者接收并點擊攻擊者發(fā)給他的一條鏈接消息后�����,會在完全無感知的情況下被攻擊者克隆賬戶�,歷史聊天記錄也會被悉數(shù)竊取,攻擊者甚至還能同步接收克隆賬戶的新消息����。值得注意的是�,放著大量資金的微信支付也未能幸免,都會被克隆賬號操控并完成購物����。
據(jù)阿里安全實驗室方面的研究顯示,此次微信的漏洞是一個目錄遍歷型漏洞��,影響范圍非常廣���,除了微信剛剛緊急發(fā)布的6.6.3最新版本���,之前所有的微信安卓版本都受影響���。雖然該漏洞本身很簡單,但風(fēng)險危害十分巨大����,因為可以遠(yuǎn)程任意代碼執(zhí)行,所以理論上能做到任何事���,除了視頻中演示的克隆微信以外����,攻擊者還可以完全控制受害者的微信程序���。
微信派發(fā)文稱修復(fù)漏洞并致謝阿里安全
“微信的聊天記錄中包含了用戶的諸多隱私���,而微信支付關(guān)乎到我們的財產(chǎn)安全,所以這是一個非常嚴(yán)重的安全問題��,如果被黑產(chǎn)搶先利用��,會給民眾的隱私和財產(chǎn)安全造成重大威脅�����。”阿里安全資深安全專家杭特介紹說�,阿里安全實驗室發(fā)現(xiàn)該漏洞后,第一時間就將漏洞信息通知給了國家相關(guān)部門和騰訊公司����。
2月1日微信正式發(fā)布6.6.2版本,2月7日收到阿里和國家相關(guān)部門通報的漏洞信息后�,于2月9日連夜修復(fù)漏洞并緊急發(fā)出6.6.3版本。
發(fā)現(xiàn)此次微信重大漏洞的阿里安全獵戶座實驗室和潘多拉實驗室��,一直致力于系統(tǒng)安全研究�����,與黑灰產(chǎn)對抗����,在保護阿里業(yè)務(wù)的同時����,曾多次給蘋果、谷歌�����、華為等知名廠商提交漏洞并獲得致謝。
杭特表示��,春節(jié)將至���,大家互相發(fā)紅包和賀詞已成為常態(tài)�,在這里阿里安全提醒大家應(yīng)盡快升級微信到最新版本�����,同時謹(jǐn)慎點擊陌生人發(fā)來的文件和小程序�,保護好自己的隱私和財產(chǎn)安全。
