微信惊现克隆漏洞,一条消息可盗刷微信钱包,官方称已修复
2018/2/14 11:44:36

鸡年最后几天,微信破天荒推送了一则漏洞修复文章。

雷锋网消息,微信官方公众号微信派2月12日对外推文承认漏洞存在,并表示已于2月9日针对该漏洞紧急进行了版本更新,用户可尽快升级至6.63版。当然,没有升级微信版本的用户也不必担心,微信团队已第一时间对可能存在的恶意攻击,在服务端后台进行了拦截。换句话说,不管怎样,你的微信都是安全的。

围观群众纷纷露出八卦脸,要知道坐拥8亿多用户的微信此前也多次被曝出漏洞问题。如2014年,有白帽子称,只需向用户发送一个公众号文章链接,截取其中的key信息,然后就可拼接扫码登录确认页请求,从而完美劫持、登录他人微信账号。此后,微信也曾出现“两位数字+15个句号”的bug及朋友圈漏洞等事件。

为何只有这一漏洞受到了官方推文的“特殊优待”?只有一个解释,该漏洞影响极大。

受到了“特殊优待”的bug

漏洞提交方阿里安全实验室表示,此次微信的漏洞是一个目录遍历型漏洞,影响范围非常广,除了微信刚刚紧急发布的6.6.3版本,之前所有的安卓版本都受影响。

雷锋网了解到,虽然该漏洞本身很简单,但风险危害十分巨大,因为可以远程任意代码执行,所以理论上能做到任何事。 比如克隆微信,只需发一条消息就可以完整克隆受害者的微信账号,并实现微信钱包支付和窃取隐私信息的操控。

具体来说,微信受害者接收点击一条链接消息后,会在完全无感知的情况下被攻击者克隆账户,历史聊天记录也会被悉数窃取,攻击者甚至还能同步接收克隆账户的新消息。值得注意的是,放着大量资金的微信支付也未能幸免,都会被克隆账号操控并完成购物。

▲漏洞克隆微信操控账号演示图

除此之外,攻击者还可以完全控制受害者的微信程序,把受害者变成自己手中的“提线木偶”。

春节将至,谨慎点击

事实上,2月1日微信才正式发布6.6.2版本,2月7日收到阿里和国家相关部门通报的漏洞信息后,于2月9日连夜修复漏洞并紧急发出版6.6.3版。要知道微信惯例是在新旧两个版本间隔一月之久,此次更新提前足以看出漏洞潜在的风险之大。

“微信的聊天记录中包含了用户的诸多隐私,而微信支付关乎到我们的财产安全,所以这是一个非常严重的安全问题,如果被黑产抢先利用,会给民众的隐私和财产安全造成重大威胁。”阿里安全资深安全专家杭特表示。

春节将至,大家互相发红包和贺词已成为常态,杭特提醒大家应尽快升级微信到最新版本,同时谨慎点击陌生人发来的文件和小程序,保护好自己的隐私和财产安全。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消