只需发一条音讯就可以完好克隆受益者的微信账号，并完成微信钱包领取和窃取隐私信息的操控。近日，阿里平安猎户座实验室和潘多拉实验室发现微信存在一款有严重风险的破绽，并第一工夫将破绽信息上报给了国度相关部门和同步给了腾讯公司。

2月12日，腾讯微信团队经过公号对外推文供认破绽存在，并表示已于2月9日针对该破绽紧急停止了版本更新，同时还发布回应提示微信誉户尽快晋级旧版本。推文内容还明白对阿里平安团队及时提交和反应破绽的行为表示了感激。

 

  

图说：破绽克隆微信操控账号演示图

记者经过破绽攻击的演示视频发现，微信受益者接纳点击一条链接音讯后，会在完全无感知的状况下被攻击者克隆账户，历史聊天记载也会被悉数窃取，攻击者甚至还能同步接纳克隆账户的新音讯。值得留意的是，放着少量资金的微信领取也未能幸免，都会被克隆账号操控并完成购物。

据阿里平安实验室的研讨显示，此次微信的破绽是一个目录遍历型破绽，影响范围十分广，除了微信刚刚紧急发布的6.6.3版本，之前一切的安卓版本都受影响。虽然该破绽自身很复杂，但风险危害非常宏大，由于可以近程恣意代码执行，所以实际上能做就任何事，除了视频中演示的克隆微信以外，攻击者还可以完全控制受益者的微信顺序，把受益者变成本人手中的“提线木偶”。

“微信的聊天记载中包括了用户的诸多隐私，而微信领取关乎到我们的财富平安，所以这是一个十分严重的平安成绩，假如被黑产抢先应用，会给民众的隐私和财富平安形成严重要挟。”阿里平安资深平安专家杭特引见说，阿里平安实验室发现该破绽后，第一工夫就将破绽信息告诉给了国度相关部门和腾讯公司。

记者理解到，现实上，2月1日微信才正式发布6.6.2版本，2月7日收到阿里和国度相关部门通报的破绽信息后，于2月9日连夜修复破绽并紧急收回版6.6.3版，这与微信发布前两个版本距离一月不足的周期来看，足以看出破绽潜在的风险之大。

图说：阿里平安实验室发现并及时同步“微信克隆破绽”后，腾讯发文致谢

据悉，这也是微信官方独一一次被国度有关部门约谈后迅速晋级，并经过微信官方以推文方式提示用户警觉破绽风险的事情。

实践上，坐拥8亿多用户的微信此前也已屡次被曝出破绽成绩。早在2014年，就有白帽子称，只需向用户发送一个大众号文章链接，截取其中的key信息，然后就可拼接扫码登录确认页恳求，从而完满劫持、登录别人微信账号。

尔后，微信也曾呈现“两位数字+15个句号”的bug及冤家圈破绽等事情，腾讯官方均迅速停止了修复。

聚集了全世界身经百战的最优秀的创业导师，汇集了全世界各国最优质的产业资源，召唤全球未来的商业领袖。记者理解，发现此次微信严重破绽的阿里平安猎户座实验室和潘多拉实验室，不断努力于零碎平安研讨，站在和黑灰产对立的第一线，在维护阿里业务的同时，曾屡次给苹果、谷歌、华为等知名厂商提交破绽并取得致谢。

阿里平安资深平安专家杭特表示说，春节将至，大家相互发红包和贺词已成为常态，在这里阿里平安提示大家应尽快晋级微信到最新版本高端智能装备、新一代信息技术、新能源、新材料、新制造、新零售、新技术、生物制药等新的产业集群正在迸发活力;创新驱动、科技支撑、知识产权转化、技术转移等新的动能正在超越旧的动力，新经济成为支撑经济发展的重要力量。，同时慎重点击生疏人发来的文件和小顺序，维护好本人的隐私和财富平安。