記者通過漏洞攻擊的演示視頻發(fā)現(xiàn)，微信受害者接收點(diǎn)擊一條鏈接消息后，會在完全無感知的情況下被攻擊者克隆賬戶，歷史聊天記錄也會被悉數(shù)竊取，攻擊者甚至還能同步接收克隆賬戶的新消息。值得注意的是，放著大量資金的微信支付也未能幸免，都會被克隆賬號操控并完成購物。

據(jù)阿里安全實(shí)驗(yàn)室的研究顯示，此次微信的漏洞是一個目錄遍歷型漏洞，影響范圍非常廣，除了微信剛剛緊急發(fā)布的6.6.3版本，之前所有的安卓版本都受影響。雖然該漏洞本身很簡單，但風(fēng)險危害十分巨大，因?yàn)榭梢赃h(yuǎn)程任意代碼執(zhí)行，所以理論上能做到任何事，除了視頻中演示的克隆微信以外，攻擊者還可以完全控制受害者的微信程序，把受害者變成自己手中的“提線木偶”。

“微信的聊天記錄中包含了用戶的諸多隱私，而微信支付關(guān)乎到我們的財產(chǎn)安全，所以這是一個非常嚴(yán)重的安全問題，如果被黑產(chǎn)搶先利用，會給民眾的隱私和財產(chǎn)安全造成重大威脅?！卑⒗锇踩Y深安全專家杭特介紹說，阿里安全實(shí)驗(yàn)室發(fā)現(xiàn)該漏洞后，第一時間就將漏洞信息通知給了國家相關(guān)部門和騰訊公司。

記者了解到，事實(shí)上，2月1日微信才正式發(fā)布6.6.2版本，2月7日收到阿里和國家相關(guān)部門通報的漏洞信息后，于2月9日連夜修復(fù)漏洞并緊急發(fā)出版6.6.3版，這與微信發(fā)布前兩個版本間隔一月有余的周期來看，足以看出漏洞潛在的風(fēng)險之大。

阿里安全實(shí)驗(yàn)室發(fā)現(xiàn)并及時同步“微信克隆漏洞”后，騰訊發(fā)文致謝

據(jù)悉，這也是微信官方唯一一次被國家有關(guān)部門約談后迅速升級，并通過微信官方以推文方式提醒用戶警惕漏洞風(fēng)險的事件。

實(shí)際上，坐擁8億多用戶的微信此前也已多次被曝出漏洞問題。早在2014年，就有白帽子稱，只需向用戶發(fā)送一個公眾號文章鏈接，截取其中的key信息，然后就可拼接掃碼登錄確認(rèn)頁請求，從而完美劫持、登錄他人微信賬號。

此后，微信也曾出現(xiàn)“兩位數(shù)字+15個句號”的bug及朋友圈漏洞等事件，騰訊官方均迅速進(jìn)行了修復(fù)。

記者了解，發(fā)現(xiàn)此次微信重大漏洞的阿里安全獵戶座實(shí)驗(yàn)室和潘多拉實(shí)驗(yàn)室，一直致力于系統(tǒng)安全研究，站在和黑灰產(chǎn)對抗的第一線，在保護(hù)阿里業(yè)務(wù)的同時，曾多次給蘋果、谷歌、華為等知名廠商提交漏洞并獲得致謝。

阿里安全資深安全專家杭特表示說，春節(jié)將至，大家互相發(fā)紅包和賀詞已成為常態(tài)，在這里阿里安全提醒大家應(yīng)盡快升級微信到最新版本，同時謹(jǐn)慎點(diǎn)擊陌生人發(fā)來的文件和小程序，保護(hù)好自己的隱私和財產(chǎn)安全。

xiesc