微信现克隆漏洞，一条消息可盗刷微信钱包，官方回应：已修复

鸡年最后几天，微信破天荒推送了一则漏洞修复文章。

雷锋网(公众号：雷锋网)消息，微信官方公众号微信派2月12日对外推文承认漏洞存在，并表示已于2月9日针对该漏洞紧急进行了版本更新，用户可尽快升级至6.63版。当然，没有升级微信版本的用户也不必担心，微信团队已第一时间对可能存在的恶意攻击，在服务端后台进行了拦截。换句话说，不管怎样，你的微信都是安全的。

围观群众纷纷露出八卦脸，要知道坐拥8亿多用户的微信此前也多次被曝出漏洞问题。如2014年，有白帽子称，只需向用户发送一个公众号文章链接，截取其中的key信息，然后就可拼接扫码登录确认页请求，从而完美劫持、登录他人微信账号。此后，微信也曾出现“两位数字+15个句号”的bug及朋友圈漏洞等事件。

为何只有这一漏洞受到了官方推文的“特殊优待”？只有一个解释，该漏洞影响极大。

受到了“特殊优待”的bug

漏洞提交方阿里安全实验室表示，此次微信的漏洞是一个目录遍历型漏洞，影响范围非常广，除了微信刚刚紧急发布的6.6.3版本，之前所有的安卓版本都受影响。

雷锋网了解到，虽然该漏洞本身很简单，但风险危害十分巨大，因为可以远程任意代码执行，所以理论上能做到任何事。  比如克隆微信，只需发一条消息就可以完整克隆受害者的微信账号，并实现微信钱包支付和窃取隐私信息的操控。

具体来说，微信受害者接收点击一条链接消息后，会在完全无感知的情况下被攻击者克隆账户，历史聊天记录也会被悉数窃取，攻击者甚至还能同步接收克隆账户的新消息。值得注意的是，放着大量资金的微信支付也未能幸免，都会被克隆账号操控并完成购物。

▲漏洞克隆微信操控账号演示图

除此之外，攻击者还可以完全控制受害者的微信程序，把受害者变成自己手中的“提线木偶”。

春节将至，谨慎点击

事实上，2月1日微信才正式发布6.6.2版本，2月7日收到阿里和国家相关部门通报的漏洞信息后，于2月9日连夜修复漏洞并紧急发出版6.6.3版。要知道微信惯例是在新旧两个版本间隔一月之久，此次更新提前足以看出漏洞潜在的风险之大。

“微信的聊天记录中包含了用户的诸多隐私，而微信支付关乎到我们的财产安全，所以这是一个非常严重的安全问题，如果被黑产抢先利用，会给民众的隐私和财产安全造成重大威胁。”阿里安全资深安全专家杭特表示。

春节将至，大家互相发红包和贺词已成为常态，杭特提醒大家应尽快升级微信到最新版本，同时谨慎点击陌生人发来的文件和小程序，保护好自己的隐私和财产安全。