只需发一条消息
就可以完整克隆受害者的
微信账号及其聊天记录
并实现微信钱包支付和
窃取隐私信息的操控
怎么样
怕了吧
到底怎么回事儿一起来看一下
近日,阿里安全猎户座实验室和潘多拉实验室发现微信存在一款有严重风险的漏洞,2月12日,腾讯微信团队通过公号“微信派”对外推文承认漏洞存在,并表示已于2月9日针对该漏洞紧急进行了版本更新,提醒微信用户尽快升级至6.6.3版本。
▲微信派发文称修复漏洞并提醒用户尽快升级
漏洞攻击的演示视频显示,微信受害者接收并点击攻击者发给他的一条链接消息后,会在完全无感知的情况下被攻击者克隆账户,历史聊天记录也会被悉数窃取,攻击者甚至还能同步接收克隆账户的新消息。值得注意的是,放着大量资金的微信支付也未能幸免,都会被克隆账号操控并完成购物。
据阿里安全实验室方面的研究显示,此次微信的漏洞是一个目录遍历型漏洞,影响范围非常广,除了微信刚刚紧急发布的6.6.3最新版本,之前所有的微信安卓版本都受影响。该漏洞理论上能做到任何事,除了克隆微信以外,攻击者还可以完全控制受害者的微信程序。
2月1日微信正式发布6.6.2版本,2月7日收到阿里和国家相关部门通报的漏洞信息后,于2月9日连夜修复漏洞并紧急发出6.6.3版本。
小编提醒大家
赶快自查一下自己的微信版本
春节将至,大家互相发红包和贺词已成为常态,小编在这里提醒大家尽快升级微信到最新版本,同时谨慎点击陌生人发来的文件和小程序,保护好自己的隐私和财产安全。
此次事件没有造成巨大影响,还要得益于阿里实验室的“友情举报”,阿里安全团队按程序上报有关部门也是合理合法的。两家公司如今为了线下和线下支付的份额已经开展了数次大战,但“两家独大”仍然是当下不可撼动的事实。
竞争者从来都是剑拔弩张的,可能是消费者的一种偏见。对方都想“搞死”自己,但是也要讲究方式方法。阿里团队没有坐视漏洞被利用,或利用漏洞搞恶意破坏,影响微信支付的信誉,阿里安全部门值得腾讯的感谢。