下载APP | 繁體版 | 发布广告 |常用工具 |

盗刷你的微信钱包!阿里发现“微信克隆漏洞”

京港台:2018-2-13 19:24| 来源:凤凰网科技 | 评论( 1 )  | 我来说几句


盗刷你的微信钱包!阿里发现“微信克隆漏洞”

来源:倍可亲(backchina.com) >> 马云相关新闻汇总

  2月13日消息,近日阿里安全猎户座实验室和潘多拉实验室发现微信存在一款有严重风险的漏洞,攻击者只需发一条消息就可以完整克隆受害者的微信账号及其聊天记录,并实现微信钱包支付和窃取隐私信息的操控,阿里安全实验室第一时间将漏洞信息上报给了国家相关部门和同步给了腾讯公司。

  

  漏洞克隆微信操控账号演示图

  2月12日,腾讯微信团队通过公号“微信派”对外推文承认漏洞存在,并表示已于2月9日针对该漏洞紧急进行了版本更新,提醒微信用户尽快升级至6.6.3版本,文章还对阿里安全团队及时提交和反馈漏洞的行为表示了感谢。

  漏洞攻击的演示视频显示,微信受害者接收并点击攻击者发给他的一条链接消息后,会在完全无感知的情况下被攻击者克隆账户,历史聊天记录也会被悉数窃取,攻击者甚至还能同步接收克隆账户的新消息。值得注意的是,放着大量资金的微信支付也未能幸免,都会被克隆账号操控并完成购物。

  据阿里安全实验室方面的研究显示,此次微信的漏洞是一个目录遍历型漏洞,影响范围非常广,除了微信刚刚紧急发布的6.6.3最新版本,之前所有的微信安卓版本都受影响。虽然该漏洞本身很简单,但风险危害十分巨大,因为可以远程任意代码执行,所以理论上能做到任何事,除了视频中演示的克隆微信以外,攻击者还可以完全控制受害者的微信程序。

  

  微信派发文称修复漏洞并致谢阿里安全

  “微信的聊天记录中包含了用户的诸多隐私,而微信支付关乎到我们的财产安全,所以这是一个非常严重的安全问题,如果被黑产抢先利用,会给民众的隐私和财产安全造成重大威胁。”阿里安全资深安全专家杭特介绍说,阿里安全实验室发现该漏洞后,第一时间就将漏洞信息通知给了国家相关部门和腾讯公司。

  2月1日微信正式发布6.6.2版本,2月7日收到阿里和国家相关部门通报的漏洞信息后,于2月9日连夜修复漏洞并紧急发出6.6.3版本。

  发现此次微信重大漏洞的阿里安全猎户座实验室和潘多拉实验室,一直致力于系统安全研究,与黑灰产对抗,在保护阿里业务的同时,曾多次给苹果谷歌华为等知名厂商提交漏洞并获得致谢。

  杭特表示,春节将至,大家互相发红包和贺词已成为常态,在这里阿里安全提醒大家应尽快升级微信到最新版本,同时谨慎点击陌生人发来的文件和小程序,保护好自己的隐私和财产安全。

相关专题:马云,微信,腾讯

推荐:美国打折网(21usDeal.com)    >>

        更多科技前沿 文章    >>

【郑重声明】倍可亲刊载此文不代表同意其说法或描述,仅为提供更多信息,也不构成任何投资或其他建议。转载需经倍可亲同意并注明出处。本网站有部分文章是由网友自由上传,对于此类文章本站仅提供交流平台,不为其版权负责;部分内容经社区和论坛转载,原作者未知,如果您发现本网站上有侵犯您的知识产权的文章,请及时与我们联络,我们会及时删除或更新作者。

关于本站 | 隐私政策 | 免责条款 | 版权声明 | 联络我们 | 刊登广告 | 转手机版 | APP下载

Copyright © 2001-2013 海外华人中文门户:倍可亲 (http://www.backchina.com) All Rights Reserved.

程序系统基于 Discuz! X3.1 商业版 优化 Discuz! © 2001-2013 Comsenz Inc. 更新:GMT+8, 2018-2-13 20:30

倍可亲服务器位于美国圣何塞、西雅图和达拉斯顶级数据中心,为更好服务全球网友特统一使用京港台时间

返回顶部