还在用 macOS 的微信外挂的快撤……

2018-10-25 11:27:25 +08:00
 spark2Fire

来自微信外挂的安全风险 作者 salt 发布于 十月 23, 2018 分类 技术文章标签 微信外挂 玄武实验室联合独立安全研究员 em 发现在 Mac OS 上用户量比较大的两款微信防撤回外挂存在安全问题,装了此外挂的用户只要在浏览器里访问攻击者页面并停留一分钟左右,攻击者即可拿到该用户的好友列表,聊天记录,甚至以该用户的身份给好友发送消息,对用户的信息安全造成巨大威胁。

目前这两款外挂的用户量较大,比较热门的一款目前在 Github 上的 star 数量接近 8800,实际安装的用户数量可能更多。经过玄武实验室与微信安全部门沟通,为了避免让众多用户暴露在安全风险中,我们决定先对该外挂进行漏洞通报,然后再发文提示用户安全威胁。em 于 10 月 15 日在对应的 Github 仓库中提交了修复代码,其中一个已经进行修补,而另一个尚无操作。玄武实验室联合微信安全提醒大家,不要随意安装微信外挂。

一个攻击演示的视频如下。

https://xlab.tencent.com/cn/2018/10/23/weixin-cheater-risks/#more-398

4691 次点击
所在节点    Apple
14 条回复
bao3
2018-10-25 12:46:51 +08:00
文章不是说其中一个一个修复了?那还撤啥
tsukiikekaoru
2018-10-25 14:35:15 +08:00
楼上那就继续用呗
gaobh
2018-10-25 14:40:31 +08:00
WeChatPlugin-MacOS 那个 10 天前已经修复了
Sunnyyoung
2018-10-25 14:41:07 +08:00
两个都修复了
niceshoot
2018-10-25 14:50:20 +08:00
心里一直有担忧,可以插件配合 Alfred workflow 实在太好用了😹
niceshoot
2018-10-25 14:50:38 +08:00
@niceshoot 可是
leoojiang
2018-10-25 14:51:22 +08:00
@Sunnyyoung 你的名字像是其中之一开发者……
fhefh
2018-10-25 15:13:23 +08:00
![]( )

视频没了~ 囧
Sunnyyoung
2018-10-25 15:26:40 +08:00
@leoojiang 没错,是我:-)
x66
2018-10-25 15:48:48 +08:00
微信安全团队还帮忙修复外挂的漏洞??
Mitt
2018-10-25 18:52:02 +08:00
@x66 玄武的跟微信安全团队是两个团队,做不同事的
spark2Fire
2018-10-25 21:51:52 +08:00
@bao3 我只是觉得漏洞这玩意永远存在,发现早晚的问题。毕竟是个人隐私信息,在意的话还是撤吧。如果个人不在意或者觉得风险小就继续用好了。我发帖也是希望更多人知道有这么回事……
ffffish
2018-10-25 23:26:14 +08:00
标题党
NG6
2018-10-26 11:11:52 +08:00
我用这个是为了 可以不每次都扫码登录,每次扫码真是太麻烦了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/500972

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX