只需發(fā)一條消息就可以完整克隆受害者的微信賬號，并實現(xiàn)微信錢包支付和竊取隱私信息的操控。

近日，阿里安全獵戶座實驗室和潘多拉實驗室發(fā)現(xiàn)微信存在一款有嚴重風(fēng)險的漏洞，并第一時間將漏洞信息上報給了國家相關(guān)部門和同步給了騰訊公司。

2月12日，騰訊微信團隊通過公號對外推文承認漏洞存在，并表示已于2月9日針對該漏洞緊急進行了版本更新，同時還發(fā)布回應(yīng)提醒微信用戶盡快升級舊版本。

漏洞克隆微信操控賬號演示圖 夏賓 攝

推文內(nèi)容還明確對阿里安全團隊及時提交和反饋漏洞的行為表示了感謝，并歡迎社會各界通過騰訊安全應(yīng)急響應(yīng)中心(TSRC)向我們提交潛在漏洞。

記者通過漏洞攻擊的演示視頻發(fā)現(xiàn)，微信受害者接收點擊一條鏈接消息后，會在完全無感知的情況下被攻擊者克隆賬戶，歷史聊天記錄也會被悉數(shù)竊取，攻擊者甚至還能同步接收克隆賬戶的新消息。

值得注意的是，放著大量資金的微信支付也未能幸免，都會被克隆賬號操控并完成購物。

據(jù)阿里安全實驗室的研究顯示，此次微信的漏洞是一個目錄遍歷型漏洞，影響范圍非常廣，除了微信剛剛緊急發(fā)布的6.6.3版本，之前所有的安卓版本都受影響。

雖然該漏洞本身很簡單，但風(fēng)險危害十分巨大，因為可以遠程任意代碼執(zhí)行，所以理論上能做到任何事，除了視頻中演示的克隆微信以外，攻擊者還可以完全控制受害者的微信程序，把受害者變成自己手中的“提線木偶”。

“微信的聊天記錄中包含了用戶的諸多隱私，而微信支付關(guān)乎到我們的財產(chǎn)安全，所以這是一個非常嚴重的安全問題，如果被黑產(chǎn)搶先利用，會給民眾的隱私和財產(chǎn)安全造成重大威脅。”阿里安全資深安全專家杭特介紹說，阿里安全實驗室發(fā)現(xiàn)該漏洞后，第一時間就將漏洞信息通知給了國家相關(guān)部門和騰訊公司。

漏洞克隆微信操控賬號演示圖 夏賓 攝

記者了解到，事實上，2月1日微信才正式發(fā)布6.6.2版本，2月7日收到阿里和國家相關(guān)部門通報的漏洞信息后，于2月9日連夜修復(fù)漏洞并緊急發(fā)出版6.6.3版，這與微信發(fā)布前兩個版本間隔一月有余的周期來看，足以看出漏洞潛在的風(fēng)險之大。

阿里安全資深安全專家杭特表示，春節(jié)將至，大家互相發(fā)紅包和賀詞已成為常態(tài)，在這里阿里安全提醒大家應(yīng)盡快升級微信到最新版本，同時謹慎點擊陌生人發(fā)來的文件和小程序，保護好自己的隱私和財產(chǎn)安全。(夏賓)

標(biāo)簽： 阿里 漏洞 實驗室