盜刷你的微信錢包!阿里發現「微信克隆漏洞」 - ☀阿波羅新聞網
阿波羅新聞網新聞 > 科教 > 正文

盜刷你的微信錢包!阿里發現「微信克隆漏洞」

2月13日消息,近日阿里安全獵戶座實驗室和潘多拉實驗室發現微信存在一款有嚴重風險的漏洞,攻擊者只需發一條消息就可以完整克隆受害者的微信賬號及其聊天記錄,並實現微信錢包支付和竊取隱私信息的操控,阿里安全實驗室第一時間將漏洞信息上報給了國家相關部門和同步給了騰訊公司。

漏洞克隆微信操控賬號演示圖

2月12日,騰訊微信團隊通過公號“微信派”對外推文承認漏洞存在,並表示已於2月9日針對該漏洞緊急進行了版本更新,提醒微信用戶儘快升級至6.6.3版本,文章還對阿里安全團隊及時提交和反饋漏洞的行為表示了感謝。

漏洞攻擊的演示視頻顯示,微信受害者接收並點擊攻擊者發給他的一條鏈接消息後,會在完全無感知的情況下被攻擊者克隆賬戶,歷史聊天記錄也會被悉數竊取,攻擊者甚至還能同步接收克隆賬戶的新消息。值得注意的是,放著大量資金的微信支付也未能倖免,都會被克隆賬號操控並完成購物。

據阿里安全實驗室方面的研究顯示,此次微信的漏洞是一個目錄遍歷型漏洞,影響範圍非常廣,除了微信剛剛緊急發布的6.6.3最新版本,之前所有的微信安卓版本都受影響。雖然該漏洞本身很簡單,但風險危害十分巨大,因為可以遠程任意代碼執行,所以理論上能做到任何事,除了視頻中演示的克隆微信以外,攻擊者還可以完全控制受害者的微信程序。

微信派發文稱修復漏洞並致謝阿里安全

“微信的聊天記錄中包含了用戶的諸多隱私,而微信支付關乎到我們的財產安全,所以這是一個非常嚴重的安全問題,如果被黑產搶先利用,會給民眾的隱私和財產安全造成重大威脅。”阿里安全資深安全專家杭特介紹說,阿里安全實驗室發現該漏洞後,第一時間就將漏洞信息通知給了國家相關部門和騰訊公司。

2月1日微信正式發布6.6.2版本,2月7日收到阿里和國家相關部門通報的漏洞信息後,於2月9日連夜修復漏洞並緊急發出6.6.3版本。

發現此次微信重大漏洞的阿里安全獵戶座實驗室和潘多拉實驗室,一直致力於系統安全研究,與黑灰產對抗,在保護阿里業務的同時,曾多次給蘋果、谷歌、華為等知名廠商提交漏洞並獲得致謝。

杭特表示,過年將至,大家互相發紅包和賀詞已成為常態,在這裡阿里安全提醒大家應儘快升級微信到最新版本,同時謹慎點擊陌生人發來的文件和小程序,保護好自己的隱私和財產安全。

阿波羅網責任編輯:夏雨荷 來源:鳳凰網科技 轉載請註明作者、出處並保持完整。

科教熱門

相關新聞

➕ 更多同類相關新聞