阿里安全实验室发现“微信克隆漏洞”:可操控微信钱包窃取隐私信息,腾讯推文致谢

简介: 只需发一条消息就可以完整克隆受害者的微信账号,并实现微信钱包支付和窃取隐私信息的操控。近日,阿里安全猎户座实验室和潘多拉实验室发现微信存在一款有严重风险的漏洞,并第一时间将漏洞信息上报给了国家相关部门和同步给了腾讯公司。

只需发一条消息就可以完整克隆受害者的微信账号,并实现微信钱包支付和窃取隐私信息的操控。近日,阿里安全猎户座实验室和潘多拉实验室发现微信存在一款有严重风险的漏洞,并第一时间将漏洞信息上报给了国家相关部门和同步给了腾讯公司。

2月12日,腾讯微信团队通过公号对外推文承认漏洞存在,并表示已于2月9日针对该漏洞紧急进行了版本更新,同时还发布回应提醒微信用户尽快升级旧版本。推文内容还明确对阿里安全团队及时提交和反馈漏洞的行为表示了感谢。

4cb90ef953845b54e01ddec9f30363e407af1405

图说:漏洞克隆微信操控账号演示图

记者通过漏洞攻击的演示视频发现,微信受害者接收点击一条链接消息后,会在完全无感知的情况下被攻击者克隆账户,历史聊天记录也会被悉数窃取,攻击者甚至还能同步接收克隆账户的新消息。值得注意的是,放着大量资金的微信支付也未能幸免,都会被克隆账号操控并完成购物。

据阿里安全实验室的研究显示,此次微信的漏洞是一个目录遍历型漏洞,影响范围非常广,除了微信刚刚紧急发布的6.6.3版本,之前所有的安卓版本都受影响。虽然该漏洞本身很简单,但风险危害十分巨大,因为可以远程任意代码执行,所以理论上能做到任何事,除了视频中演示的克隆微信以外,攻击者还可以完全控制受害者的微信程序,把受害者变成自己手中的“提线木偶”。

“微信的聊天记录中包含了用户的诸多隐私,而微信支付关乎到我们的财产安全,所以这是一个非常严重的安全问题,如果被黑产抢先利用,会给民众的隐私和财产安全造成重大威胁。”阿里安全资深安全专家杭特介绍说,阿里安全实验室发现该漏洞后,第一时间就将漏洞信息通知给了国家相关部门和腾讯公司。

记者了解到,事实上,2月1日微信才正式发布6.6.2版本,2月7日收到阿里和国家相关部门通报的漏洞信息后,于2月9日连夜修复漏洞并紧急发出版6.6.3版,这与微信发布前两个版本间隔一月有余的周期来看,足以看出漏洞潜在的风险之大。

5bf50a3db4ced8c45ca554b534b3f8dd4c3f5d58

图说:阿里安全实验室发现并及时同步“微信克隆漏洞”后,腾讯发文致谢

据悉,这也是微信官方唯一一次被国家有关部门约谈后迅速升级,并通过微信官方以推文方式提醒用户警惕漏洞风险的事件。

实际上,坐拥8亿多用户的微信此前也已多次被曝出漏洞问题。早在2014年,就有白帽子称,只需向用户发送一个公众号文章链接,截取其中的key信息,然后就可拼接扫码登录确认页请求,从而完美劫持、登录他人微信账号。

此后,微信也曾出现“两位数字+15个句号”的bug及朋友圈漏洞等事件,腾讯官方均迅速进行了修复。

记者了解,发现此次微信重大漏洞的阿里安全猎户座实验室和潘多拉实验室,一直致力于系统安全研究,站在和黑灰产对抗的第一线,在保护阿里业务的同时,曾多次给苹果、谷歌、华为等知名厂商提交漏洞并获得致谢。

阿里安全资深安全专家杭特表示说,春节将至,大家互相发红包和贺词已成为常态,在这里阿里安全提醒大家应尽快升级微信到最新版本,同时谨慎点击陌生人发来的文件和小程序,保护好自己的隐私和财产安全。


原文发布时间为:2018-02-13

本文作者:麒麟

本文来自云栖社区合作伙伴“新科技”,了解相关信息可以关注“新科技”微信公众号

相关文章
|
3月前
|
存储 安全 小程序
在微信小程序中使用 Vant 时如何确保数据的安全?
在微信小程序中使用 Vant 时如何确保数据的安全?
39 1
|
2月前
|
小程序 JavaScript
微信小程序之input组件及其获取用户输入信息
微信小程序之input组件及其获取用户输入信息
66 1
|
6月前
|
JavaScript Java 测试技术
基于SpringBoot+Vue+uniapp的实验室管理微信小程序的详细设计和实现(源码+lw+部署文档+讲解等)
基于SpringBoot+Vue+uniapp的实验室管理微信小程序的详细设计和实现(源码+lw+部署文档+讲解等)
|
2月前
|
小程序
uniapp实现微信小程序隐私协议组件封装
uniapp实现微信小程序隐私协议组件封装
50 0
|
4月前
|
缓存 JavaScript 前端开发
微信 JS-SDK Demo “分享信息设置” API 及数字签名生成方法(NodeJS版本)
微信 JS-SDK Demo “分享信息设置” API 及数字签名生成方法(NodeJS版本)更新时间(2020-10-29)
|
5月前
|
算法 安全 数据安全/隐私保护
支付系统---微信支付09------数字签名,现在Bob想要给Pink写一封信,信件的内容不需要加密,怎样能够保证信息的完整性,使用信息完整性的主要手段是摘要算法,散列函数,哈希函数,H称为数据指纹
支付系统---微信支付09------数字签名,现在Bob想要给Pink写一封信,信件的内容不需要加密,怎样能够保证信息的完整性,使用信息完整性的主要手段是摘要算法,散列函数,哈希函数,H称为数据指纹
|
5月前
|
小程序 前端开发
【微信小程序-原生开发】添加自定义图标(以使用阿里图标库为例)
【微信小程序-原生开发】添加自定义图标(以使用阿里图标库为例)
233 0
|
5月前
|
小程序 定位技术
微信小程序实战——获取用户地理位置信息
微信小程序实战——获取用户地理位置信息
85 0
|
7月前
|
JavaScript Java 测试技术
速达物流信息查询微信小程序ssm+vue.js附带文章和源代码设计说明文档ppt
速达物流信息查询微信小程序ssm+vue.js附带文章和源代码设计说明文档ppt
50 1
|
7月前
|
小程序 JavaScript Java
实验室预约|实验室预约小程序|基于微信小程序的实验室预约管理系统设计与实现(源码+数据库+文档)
实验室预约|实验室预约小程序|基于微信小程序的实验室预约管理系统设计与实现(源码+数据库+文档)
144 0