雞年最后幾天，微信破天荒推送了一則漏洞修復(fù)文章。

雷鋒網(wǎng)消息，微信官方公眾號(hào)微信派2月12日對(duì)外推文承認(rèn)漏洞存在，并表示已于2月9日針對(duì)該漏洞緊急進(jìn)行了版本更新，用戶可盡快升級(jí)至6.63版。當(dāng)然，沒有升級(jí)微信版本的用戶也不必?fù)?dān)心，微信團(tuán)隊(duì)已第一時(shí)間對(duì)可能存在的惡意攻擊，在服務(wù)端后臺(tái)進(jìn)行了攔截。換句話說(shuō)，不管怎樣，你的微信都是安全的。

圍觀群眾紛紛露出八卦臉，要知道坐擁8億多用戶的微信此前也多次被曝出漏洞問題。如2014年，有白帽子稱，只需向用戶發(fā)送一個(gè)公眾號(hào)文章鏈接，截取其中的key信息，然后就可拼接掃碼登錄確認(rèn)頁(yè)請(qǐng)求，從而完美劫持、登錄他人微信賬號(hào)。此后，微信也曾出現(xiàn)“兩位數(shù)字+15個(gè)句號(hào)”的bug及朋友圈漏洞等事件。

為何只有這一漏洞受到了官方推文的“特殊優(yōu)待”？只有一個(gè)解釋，該漏洞影響極大。

受到了“特殊優(yōu)待”的bug

漏洞提交方阿里安全實(shí)驗(yàn)室表示，此次微信的漏洞是一個(gè)目錄遍歷型漏洞，影響范圍非常廣，除了微信剛剛緊急發(fā)布的6.6.3版本，之前所有的安卓版本都受影響。

雷鋒網(wǎng)了解到，雖然該漏洞本身很簡(jiǎn)單，但風(fēng)險(xiǎn)危害十分巨大，因?yàn)榭梢?strong>遠(yuǎn)程任意代碼執(zhí)行，所以理論上能做到任何事。  比如克隆微信，只需發(fā)一條消息就可以完整克隆受害者的微信賬號(hào)，并實(shí)現(xiàn)微信錢包支付和竊取隱私信息的操控。

具體來(lái)說(shuō)，微信受害者接收點(diǎn)擊一條鏈接消息后，會(huì)在完全無(wú)感知的情況下被攻擊者克隆賬戶，歷史聊天記錄也會(huì)被悉數(shù)竊取，攻擊者甚至還能同步接收克隆賬戶的新消息。值得注意的是，放著大量資金的微信支付也未能幸免，都會(huì)被克隆賬號(hào)操控并完成購(gòu)物。

              ▲漏洞克隆微信操控賬號(hào)演示圖

除此之外，攻擊者還可以完全控制受害者的微信程序，把受害者變成自己手中的“提線木偶”。

春節(jié)將至，謹(jǐn)慎點(diǎn)擊

事實(shí)上，2月1日微信才正式發(fā)布6.6.2版本，2月7日收到阿里和國(guó)家相關(guān)部門通報(bào)的漏洞信息后，于2月9日連夜修復(fù)漏洞并緊急發(fā)出版6.6.3版。要知道微信慣例是在新舊兩個(gè)版本間隔一月之久，此次更新提前足以看出漏洞潛在的風(fēng)險(xiǎn)之大。

“微信的聊天記錄中包含了用戶的諸多隱私，而微信支付關(guān)乎到我們的財(cái)產(chǎn)安全，所以這是一個(gè)非常嚴(yán)重的安全問題，如果被黑產(chǎn)搶先利用，會(huì)給民眾的隱私和財(cái)產(chǎn)安全造成重大威脅?！卑⒗锇踩Y深安全專家杭特表示。

春節(jié)將至，大家互相發(fā)紅包和賀詞已成為常態(tài)，杭特提醒大家應(yīng)盡快升級(jí)微信到最新版本，同時(shí)謹(jǐn)慎點(diǎn)擊陌生人發(fā)來(lái)的文件和小程序，保護(hù)好自己的隱私和財(cái)產(chǎn)安全。

雷鋒網(wǎng)宅客頻道，專注先鋒科技領(lǐng)域，講述黑客背后的故事。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。