来自微信外挂的安全风险 作者 salt 发布于 十月 23, 2018 分类 技术文章标签 微信外挂 玄武实验室联合独立安全研究员 em 发现在 Mac OS 上用户量比较大的两款微信防撤回外挂存在安全问题,装了此外挂的用户只要在浏览器里访问攻击者页面并停留一分钟左右,攻击者即可拿到该用户的好友列表,聊天记录,甚至以该用户的身份给好友发送消息,对用户的信息安全造成巨大威胁。
目前这两款外挂的用户量较大,比较热门的一款目前在 Github 上的 star 数量接近 8800,实际安装的用户数量可能更多。经过玄武实验室与微信安全部门沟通,为了避免让众多用户暴露在安全风险中,我们决定先对该外挂进行漏洞通报,然后再发文提示用户安全威胁。em 于 10 月 15 日在对应的 Github 仓库中提交了修复代码,其中一个已经进行修补,而另一个尚无操作。玄武实验室联合微信安全提醒大家,不要随意安装微信外挂。
一个攻击演示的视频如下。
https://xlab.tencent.com/cn/2018/10/23/weixin-cheater-risks/#more-398
1
bao3 2018-10-25 12:46:51 +08:00 via iPhone
文章不是说其中一个一个修复了?那还撤啥
|
2
tsukiikekaoru 2018-10-25 14:35:15 +08:00 via Android
楼上那就继续用呗
|
3
gaobh 2018-10-25 14:40:31 +08:00
WeChatPlugin-MacOS 那个 10 天前已经修复了
|
4
Sunnyyoung 2018-10-25 14:41:07 +08:00 via iPhone
两个都修复了
|
5
niceshoot 2018-10-25 14:50:20 +08:00
心里一直有担忧,可以插件配合 Alfred workflow 实在太好用了😹
|
7
leoojiang 2018-10-25 14:51:22 +08:00 via iPhone
@Sunnyyoung 你的名字像是其中之一开发者……
|
8
fhefh 2018-10-25 15:13:23 +08:00
![]( )
视频没了~ 囧 |
9
Sunnyyoung 2018-10-25 15:26:40 +08:00 via iPhone 1
@leoojiang 没错,是我:-)
|
10
x66 2018-10-25 15:48:48 +08:00 via iPhone
微信安全团队还帮忙修复外挂的漏洞??
|
12
spark2Fire OP @bao3 我只是觉得漏洞这玩意永远存在,发现早晚的问题。毕竟是个人隐私信息,在意的话还是撤吧。如果个人不在意或者觉得风险小就继续用好了。我发帖也是希望更多人知道有这么回事……
|
13
ffffish 2018-10-25 23:26:14 +08:00
标题党
|
14
NG6 2018-10-26 11:11:52 +08:00
我用这个是为了 可以不每次都扫码登录,每次扫码真是太麻烦了
|