阿里安全實驗室發現“微信克隆漏洞”
責編:mhshi |2018-02-13 09:51:58近日阿里安全獵戶座實驗室和潘多拉實驗室發現微信存在一款有嚴重風險的漏洞,攻擊者只需發一條消息就可以完整克隆受害者的微信賬號及其聊天記錄,并實現微信錢包支付和竊取隱私信息的操控,阿里安全實驗室第一時間將漏洞信息上報給了國家相關部門和同步給了騰訊公司。
漏洞克隆微信操控賬號演示圖
2月12日,騰訊微信團隊通過公號“微信派”對外推文承認漏洞存在,并表示已于2月9日針對該漏洞緊急進行了版本更新,提醒微信用戶盡快升級至6.6.3版本,文章還對阿里安全團隊及時提交和反饋漏洞的行為表示了感謝。
漏洞攻擊的演示視頻顯示,微信受害者接收并點擊攻擊者發給他的一條鏈接消息后,會在完全無感知的情況下被攻擊者克隆賬戶,歷史聊天記錄也會被悉數竊取,攻擊者甚至還能同步接收克隆賬戶的新消息。值得注意的是,放著大量資金的微信支付也未能幸免,都會被克隆賬號操控并完成購物。
據阿里安全實驗室方面的研究顯示,此次微信的漏洞是一個目錄遍歷型漏洞,影響范圍非常廣,除了微信剛剛緊急發布的6.6.3最新版本,之前所有的微信安卓版本都受影響。雖然該漏洞本身很簡單,但風險危害十分巨大,因為可以遠程任意代碼執行,所以理論上能做到任何事,除了視頻中演示的克隆微信以外,攻擊者還可以完全控制受害者的微信程序。
微信派發文稱修復漏洞并致謝阿里安全
“微信的聊天記錄中包含了用戶的諸多隱私,而微信支付關乎到我們的財產安全,所以這是一個非常嚴重的安全問題,如果被黑產搶先利用,會給民眾的隱私和財產安全造成重大威脅。”阿里安全資深安全專家杭特介紹說,阿里安全實驗室發現該漏洞后,第一時間就將漏洞信息通知給了國家相關部門和騰訊公司。
2月1日微信正式發布6.6.2版本,2月7日收到阿里和國家相關部門通報的漏洞信息后,于2月9日連夜修復漏洞并緊急發出6.6.3版本。
發現此次微信重大漏洞的阿里安全獵戶座實驗室和潘多拉實驗室,一直致力于系統安全研究,與黑灰產對抗,在保護阿里業務的同時,曾多次給蘋果、谷歌、華為等知名廠商提交漏洞并獲得致謝。
杭特表示,春節將至,大家互相發紅包和賀詞已成為常態,在這里阿里安全提醒大家應盡快升級微信到最新版本,同時謹慎點擊陌生人發來的文件和小程序,保護好自己的隱私和財產安全。