360發(fā)現(xiàn)微信重大程序漏洞或影響數(shù)億用戶

來(lái)源:雷鋒網(wǎng) 2016-08-24 16:57 http://m.yyykp.com/ 海峽都市報(bào)電子版

　　近日，360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)（Alpha Team）發(fā)現(xiàn)微信遠(yuǎn)程任意代碼執(zhí)行漏洞，將其命名為badkernel。360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)發(fā)現(xiàn)，通過(guò)此漏洞攻擊者可獲取微信的完全控制權(quán)，危及用戶朋友圈、好友信息、聊天記錄甚至是微信錢包，可使上億微信用戶受到影響，危害巨大。

　　目前，阿爾法團(tuán)隊(duì)的相關(guān)研究人員已經(jīng)將此漏洞報(bào)告給騰訊應(yīng)急響應(yīng)中心并提供了修復(fù)建議。

　　360手機(jī)衛(wèi)士獨(dú)家發(fā)現(xiàn)微信重大漏洞或影響數(shù)億用戶360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)研究發(fā)現(xiàn)，利用badkernel漏洞可以進(jìn)行準(zhǔn)蠕蟲(chóng)式的傳播，單個(gè)用戶微信中招后可通過(guò)發(fā)送朋友圈和群鏈接傳播；還可獲取用戶的隱私信息，包括通訊錄、短信、進(jìn)行錄音、錄像等；同時(shí)可能造成用戶的財(cái)產(chǎn)損失，通過(guò)記錄微信支付密碼，進(jìn)行自動(dòng)轉(zhuǎn)賬和發(fā)紅包的行為。

　　360手機(jī)衛(wèi)士團(tuán)隊(duì)第一時(shí)間向騰訊提交漏洞分析并提供修復(fù)建議

　　并且，用戶在使用微信進(jìn)行掃一掃功能、掃描二維碼功能、點(diǎn)擊朋友圈鏈接、點(diǎn)擊微信群中的鏈接等日常使用場(chǎng)景時(shí)最易受到攻擊。用戶一個(gè)再平常不過(guò)的動(dòng)作都可能致使其微信權(quán)限被利用，產(chǎn)生隱私泄露、財(cái)產(chǎn)損失等威脅。據(jù)360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)透露，badkernel漏洞位于微信使用的x5內(nèi)核中，x5內(nèi)核是經(jīng)過(guò)騰訊定制過(guò)的chrome瀏覽器內(nèi)核，所以使用了x5內(nèi)核的應(yīng)用都可能都受到此漏洞的影響。

　　360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)從x5的官網(wǎng)上(x5.tencent.com)發(fā)現(xiàn)，微信、手機(jī)QQ、QQ空間、京東、58同城、搜狐視頻、新浪新聞等應(yīng)用都使用了x5內(nèi)核。其中，由于微信已經(jīng)成為手機(jī)用戶最為常用的APP，各手機(jī)廠商也愿意向微信開(kāi)放授權(quán)，大部分的權(quán)限管理軟件也不會(huì)對(duì)微信的權(quán)限使用做提示，因此對(duì)于微信用戶來(lái)說(shuō)，該漏洞危害巨大。在發(fā)現(xiàn)漏洞的第一時(shí)間，360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)已經(jīng)將此漏洞提交給騰訊應(yīng)急響應(yīng)中心并提供了修復(fù)建議，騰訊已經(jīng)內(nèi)部修復(fù)此漏洞并開(kāi)始向用戶推送更新。

　　360手機(jī)衛(wèi)士提供漏洞檢測(cè)方式

　　阿爾法團(tuán)隊(duì)第一時(shí)間為用戶提供了檢測(cè)方式，用戶可通過(guò)在任意聊天對(duì)話框中輸入“//gettbs”可判定是否已經(jīng)收到此漏洞的更新。如果tbsCoreVersion大于036555則說(shuō)明該漏洞已經(jīng)修復(fù)，用戶無(wú)需擔(dān)心，否則則說(shuō)明微信受該漏洞影響。

　　在此，提醒用戶，在耐心等待更新的同時(shí)請(qǐng)緊遵三個(gè)不要，不要隨便掃描二維碼，不要隨意點(diǎn)擊朋友圈鏈接，不要隨意點(diǎn)擊微信群內(nèi)的鏈接，以防微信被遠(yuǎn)程控制?？梢酝ㄟ^(guò)360手機(jī)衛(wèi)士安全掃碼檢驗(yàn)二維碼安全，同時(shí)還可抵御利用此漏洞惡意程序的攻擊。360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)（Alpha Team）隸屬于360手機(jī)衛(wèi)士事業(yè)部，為360手機(jī)衛(wèi)士提供安全研究支持和成果轉(zhuǎn)化，致力于Android系統(tǒng)漏洞以及移動(dòng)瀏覽器漏洞的挖掘與利用。阿爾法團(tuán)隊(duì)近兩年來(lái)因發(fā)現(xiàn)20多個(gè)漏洞而多次獲得Google公開(kāi)致謝。