北美首頁 | 新聞 | 時尚 | 大陸 | 台灣 | 美國 | 娛樂 | 體育 | 財經 | 圖片 | 移民 | 微博 | 健康
Value Engine Stock Forecast
ENTER SYMBOL(S)

阿里安全實驗室發現“微信克隆漏洞”

http://finance.sina.com   2018年02月13日 00:32   中國新聞網

  阿里安全實驗室發現“微信克隆漏洞”:可操控微信錢包竊取隱私信息

  中新網北京2月13日電(夏賓)只需發一條消息就可以完整克隆受害者的微信賬號,並實現微信錢包支付和竊取隱私信息的操控。

近日,阿里安全獵戶座實驗室和潘多拉實驗室發現微信存在一款有嚴重風險的漏洞,並第一時間將漏洞信息上報給了國家相關部門和同步給了騰訊公司。

2月12日,騰訊微信團隊通過公號對外推文承認漏洞存在,並表示已於2月9日針對該漏洞緊急進行了版本更新,同時還發布回應提醒微信用戶盡快升級舊版本。

漏洞克隆微信操控賬號演示圖 夏賓 攝

  推文內容還明確對阿里安全團隊及時提交和反饋漏洞的行為表示了感謝,並歡迎社會各界通過騰訊安全應急響應中心(TSRC)向我們提交潛在漏洞。

  記者通過漏洞攻擊的演示視頻發現,微信受害者接收點擊一條連結消息后,會在完全無感知的情況下被攻擊者克隆賬戶,歷史聊天記錄也會被悉數竊取,攻擊者甚至還能同步接收克隆賬戶的新消息。

  值得注意的是,放着大量資金的微信支付也未能倖免,都會被克隆賬號操控並完成購物。

  據阿里安全實驗室的研究顯示,此次微信的漏洞是一個目錄遍歷型漏洞,影響範圍非常廣,除了微信剛剛緊急發布的6.6.3版本,之前所有的安卓版本都受影響。

  雖然該漏洞本身很簡單,但風險危害十分巨大,因為可以遠程任意代碼執行,所以理論上能做到任何事,除了視頻中演示的克隆微信以外,攻擊者還可以完全控制受害者的微信程序,把受害者變成自己手中的“提綫木偶”。

“微信的聊天記錄中包含了用戶的諸多隱私,而微信支付關乎到我們的財産安全,所以這是一個非常嚴重的安全問題,如果被黑産搶先利用,會給民衆的隱私和財産安全造成重大威脅。”阿里安全資深安全專家杭特介紹说,阿里安全實驗室發現該漏洞后,第一時間就將漏洞信息通知給了國家相關部門和騰訊公司。

漏洞克隆微信操控賬號演示圖 夏賓 攝

  記者了解到,事實上,2月1日微信才正式發布6.6.2版本,2月7日收到阿里和國家相關部門通報的漏洞信息后,於2月9日連夜修復漏洞並緊急發出版6.6.3版,這與微信發布前兩個版本間隔一月有余的周期來看,足以看出漏洞潛在的風險之大。

  阿里安全資深安全專家杭特表示,春節將至,大家互相發紅包和賀詞已成為常態,在這裏阿里安全提醒大家應盡快升級微信到最新版本,同時謹慎點擊陌生人發來的檔案和小程序,保護好自己的隱私和財産安全。(完)

Bookmark and Share
|
關閉
列印
轉寄
DJIA24601.2695
+410.3700
NASDAQ6981.9644
+107.4730
S&P 5002656.0000
+36.4500

今日焦點新聞

新浪推薦