据国内媒体报道,近日,阿里安全猎户座实验室和潘多拉实验室发现了微信的重大漏洞——微信克隆漏洞。
据悉,攻击者只需发送一条消息,即可完全克隆受害者的微信账号和聊天记录,甚至可以启用微信钱包支付,窃取私人信息。
发现该漏洞后,阿里巴巴安全实验室立即将漏洞信息报告给国家相关部门以及腾讯。
在漏洞攻击演示中,只要受害者点击攻击者发送的链接消息,微信账号、历史聊天记录等就会在不知不觉中被克隆。
此外,攻击者还可以通过克隆账户同时接收新消息并控制受害者的微信支付。
阿里巴巴安全实验室表示,该漏洞为目录遍历漏洞。
它本身很简单,但其影响和危害却是巨大的。
因为它可以远程执行任意代码,所以理论上它可以做任何事情。
据悉,微信于2月1日发布6.6.2版本,2月7日收到阿里巴巴及国家相关部门的漏洞信息后,于2月9日连夜修复该漏洞,并紧急发布6.6.3版本。
2月12日,微信官方微信派发文承认该漏洞的存在。
文章称,微信Android版本近期已升级,修复可能影响用户安全的漏洞,并呼吁大家尽快升级至6.6.3版本。
据微信消息,2月7日,国家信息安全漏洞库(CNNVD)向微信通报称,Android客户端存在漏洞,攻击者可通过该漏洞获取远程执行权限。
文章强调,微信团队立即连夜进行彻底调查分析,并于2月9日推出了新版本的Android客户端。
当然,尚未升级微信版本的用户也不必担心。
收到反馈后,微信团队立即拦截了服务器后台可能存在的恶意攻击行为。
也就是说,无论如何,你的微信都是安全的!此外,微信还在文中感谢工信部网络安全管理局和中国信息安全评测中心的持续监督和指导,并感谢阿里巴巴安全团队及时提交和反馈漏洞。