微信现克隆漏洞,一条消息可盗刷微信钱包,官方回应:已修复

雷锋网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

鸡年最后几天,微信破天荒推送了一则漏洞修复文章。

雷锋网消息,微信官方公众号微信派2月12日对外推文承认漏洞存在,并表示已于2月9日针对该漏洞紧急进行了版本更新,用户可尽快升级至6.63版。当然,没有升级微信版本的用户也不必担心,微信团队已第一时间对可能存在的恶意攻击,在服务端后台进行了拦截。换句话说,不管怎样,你的微信都是安全的。 微信现克隆漏洞,一条消息可盗刷微信钱包,官方回应:已修复

围观群众纷纷露出八卦脸,要知道坐拥8亿多用户的微信此前也多次被曝出漏洞问题。如2014年,有白帽子称,只需向用户发送一个公众号文章链接,截取其中的key信息,然后就可拼接扫码登录确认页请求,从而完美劫持、登录他人微信账号。此后,微信也曾出现“两位数字+15个句号”的bug及朋友圈漏洞等事件。

为何只有这一漏洞受到了官方推文的“特殊优待”?只有一个解释,该漏洞影响极大。

受到了“特殊优待”的bug

漏洞提交方阿里安全实验室表示,此次微信的漏洞是一个 目录遍历型漏洞 ,影响范围非常广,除了微信刚刚紧急发布的6.6.3版本,之前所有的安卓版本都受影响。

雷锋网了解到,虽然该漏洞本身很简单,但风险危害十分巨大,因为可以 远程任意代码执行 ,所以理论上能做到任何事。  比如克隆微信,只需发一条消息就可以完整克隆受害者的微信账号,并实现微信钱包支付和窃取隐私信息的操控。

具体来说,微信受害者接收点击一条链接消息后,会在完全无感知的情况下被攻击者克隆账户,历史聊天记录也会被悉数窃取,攻击者甚至还能同步接收克隆账户的新消息。值得注意的是,放着大量资金的微信支付也未能幸免,都会被克隆账号操控并完成购物。

微信现克隆漏洞,一条消息可盗刷微信钱包,官方回应:已修复

微信现克隆漏洞,一条消息可盗刷微信钱包,官方回应:已修复

微信现克隆漏洞,一条消息可盗刷微信钱包,官方回应:已修复

微信现克隆漏洞,一条消息可盗刷微信钱包,官方回应:已修复

微信现克隆漏洞,一条消息可盗刷微信钱包,官方回应:已修复

              ▲漏洞克隆微信操控账号演示图

除此之外,攻击者还可以完全控制受害者的微信程序,把受害者变成自己手中的“提线木偶”。

春节将至,谨慎点击

事实上,2月1日微信才正式发布6.6.2版本,2月7日收到阿里和国家相关部门通报的漏洞信息后,于2月9日连夜修复漏洞并紧急发出版6.6.3版。要知道微信惯例是在新旧两个版本间隔一月之久,此次更新提前足以看出漏洞潜在的风险之大。

“微信的聊天记录中包含了用户的诸多隐私,而微信支付关乎到我们的财产安全,所以这是一个非常严重的安全问题,如果被黑产抢先利用,会给民众的隐私和财产安全造成重大威胁。”阿里安全资深安全专家杭特表示。

春节将至,大家互相发红包和贺词已成为常态,杭特提醒大家应尽快升级微信到最新版本,同时谨慎点击陌生人发来的文件和小程序,保护好自己的隐私和财产安全。

雷锋网 (公众号:雷锋网) 宅客频道,专注先锋科技领域,讲述黑客背后的故事。

微信现克隆漏洞,一条消息可盗刷微信钱包,官方回应:已修复

微信现克隆漏洞,一条消息可盗刷微信钱包,官方回应:已修复

随意打赏

微信钱包与支付宝微信钱包提现微信红包漏洞微信支付漏洞微信漏洞
提交建议
微信扫一扫,分享给好友吧。