阿里安全实验室发现“微信克隆漏洞”

对牛打鼓

中新网北京2月13日电(夏宾)只需发一条消息就可以完整克隆受害者的微信账号，并实现微信钱包支付和窃取隐私信息的操控。

近日，阿里安全猎户座实验室和潘多拉实验室发现微信存在一款有严重风险的漏洞，并第一时间将漏洞信息上报给了国家相关部门和同步给了腾讯公司。

2月12日，腾讯微信团队通过公号对外推文承认漏洞存在，并表示已于2月9日针对该漏洞紧急进行了版本更新，同时还发布回应提醒微信用户尽快升级旧版本。

推文内容还明确对阿里安全团队及时提交和反馈漏洞的行为表示了感谢，并欢迎社会各界通过腾讯安全应急响应中心(TSRC)向我们提交潜在漏洞。

记者通过漏洞攻击的演示视频发现，微信受害者接收点击一条链接消息后，会在完全无感知的情况下被攻击者克隆账户，历史聊天记录也会被悉数窃取，攻击者甚至还能同步接收克隆账户的新消息。

值得注意的是，放着大量资金的微信支付也未能幸免，都会被克隆账号操控并完成购物。

据阿里安全实验室的研究显示，此次微信的漏洞是一个目录遍历型漏洞，影响范围非常广，除了微信刚刚紧急发布的6.6.3版本，之前所有的安卓版本都受影响。

虽然该漏洞本身很简单，但风险危害十分巨大，因为可以远程任意代码执行，所以理论上能做到任何事，除了视频中演示的克隆微信以外，攻击者还可以完全控制受害者的微信程序，把受害者变成自己手中的“提线木偶”。

“微信的聊天记录中包含了用户的诸多隐私，而微信支付关乎到我们的财产安全，所以这是一个非常严重的安全问题，如果被黑产抢先利用，会给民众的隐私和财产安全造成重大威胁。”阿里安全资深安全专家杭特介绍说，阿里安全实验室发现该漏洞后，第一时间就将漏洞信息通知给了国家相关部门和腾讯公司。

记者了解到，事实上，2月1日微信才正式发布6.6.2版本，2月7日收到阿里和国家相关部门通报的漏洞信息后，于2月9日连夜修复漏洞并紧急发出版6.6.3版，这与微信发布前两个版本间隔一月有余的周期来看，足以看出漏洞潜在的风险之大。

nightwish