0
雞年最后幾天,微信破天荒推送了一則漏洞修復文章。
雷鋒網消息,微信官方公眾號微信派2月12日對外推文承認漏洞存在,并表示已于2月9日針對該漏洞緊急進行了版本更新,用戶可盡快升級至6.63版。當然,沒有升級微信版本的用戶也不必擔心,微信團隊已第一時間對可能存在的惡意攻擊,在服務端后臺進行了攔截。換句話說,不管怎樣,你的微信都是安全的。
圍觀群眾紛紛露出八卦臉,要知道坐擁8億多用戶的微信此前也多次被曝出漏洞問題。如2014年,有白帽子稱,只需向用戶發送一個公眾號文章鏈接,截取其中的key信息,然后就可拼接掃碼登錄確認頁請求,從而完美劫持、登錄他人微信賬號。此后,微信也曾出現“兩位數字+15個句號”的bug及朋友圈漏洞等事件。
為何只有這一漏洞受到了官方推文的“特殊優待”?只有一個解釋,該漏洞影響極大。
漏洞提交方阿里安全實驗室表示,此次微信的漏洞是一個目錄遍歷型漏洞,影響范圍非常廣,除了微信剛剛緊急發布的6.6.3版本,之前所有的安卓版本都受影響。
雷鋒網了解到,雖然該漏洞本身很簡單,但風險危害十分巨大,因為可以遠程任意代碼執行,所以理論上能做到任何事。 比如克隆微信,只需發一條消息就可以完整克隆受害者的微信賬號,并實現微信錢包支付和竊取隱私信息的操控。
具體來說,微信受害者接收點擊一條鏈接消息后,會在完全無感知的情況下被攻擊者克隆賬戶,歷史聊天記錄也會被悉數竊取,攻擊者甚至還能同步接收克隆賬戶的新消息。值得注意的是,放著大量資金的微信支付也未能幸免,都會被克隆賬號操控并完成購物。
▲漏洞克隆微信操控賬號演示圖
除此之外,攻擊者還可以完全控制受害者的微信程序,把受害者變成自己手中的“提線木偶”。
春節將至,謹慎點擊
事實上,2月1日微信才正式發布6.6.2版本,2月7日收到阿里和國家相關部門通報的漏洞信息后,于2月9日連夜修復漏洞并緊急發出版6.6.3版。要知道微信慣例是在新舊兩個版本間隔一月之久,此次更新提前足以看出漏洞潛在的風險之大。
“微信的聊天記錄中包含了用戶的諸多隱私,而微信支付關乎到我們的財產安全,所以這是一個非常嚴重的安全問題,如果被黑產搶先利用,會給民眾的隱私和財產安全造成重大威脅。”阿里安全資深安全專家杭特表示。
春節將至,大家互相發紅包和賀詞已成為常態,杭特提醒大家應盡快升級微信到最新版本,同時謹慎點擊陌生人發來的文件和小程序,保護好自己的隱私和財產安全。
雷鋒網宅客頻道,專注先鋒科技領域,講述黑客背后的故事。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
