作为现代“手机控”们的必备APP(几乎没有之一),微信几乎是大家日常里最频繁使用的软件了:完善的功能涵盖了聊天、语音、视频、生活服务、购物甚至是游戏等方方面面——虽然这种完善的另一面是臃肿的应用体积以及其所产生的巨量的缓存垃圾文件。
不过,如果说,为众人普遍使用的微信出现了致命的安全漏洞,可以被利用于执行任意恶意代码,而且这个漏洞有可能早已存在了两年之久却未被修复……不知道屏幕前的你有没有感到不寒而栗?
这个近日才被曝光的漏洞名为BadKernel,它源于程序员在编写源代码时输入的一处语序错误(所以说检查很重要)——源代码中“observe_accept_invalid”异常类型被误写为“observe_invalid_accept”。结果,整句代码的意思因此完全颠倒,而黑客就可利用该漏洞造成kMessages关键对象信息泄露,从而在相关程序中执行任意代码!
实际上,这么一个匪夷所思的安全漏洞最初并非来自于微信本身,而是源于Google Chrome浏览器的第37个版本——这是一个发布于2014年的老版本,目前Chrome浏览器早已更新到了55版,该漏洞在Chome中也早就被修正了。但是不幸的是,由于Chrome内核的开源特性,许多我们熟知的第三方软件其实都是基于Chrome浏览器或是它的部分内核而工作的,而且这些软件中引用的Chrome代码常常不会得到及时的更新,譬如说在微信内部,就集成了一个名为“miniQB(迷你QQ浏览器)”的浏览器组件,而它所使用的内核,仍然是两年前的Chrome37……
结果,就是这样一句玩笑一般的语序错误所导致的致命漏洞,在其源头软件早已更新、修正的前提下,却被微信“原封不动”地继承了两年之久,期间Chrome浏览器更新了接近20个版本,而微信自己也经历了几次大的界面改变,加入了许多新的功能,但事关软件执行效率和安全性的浏览器底层内核却反而被忽视——最终直到今年8月份,才被国内的安全软件厂商360所发现并报告。
可惜的是,即便在9月底更新的最新版本微信中,笔者发现其仍在使用着古旧的Chrome版本代码……据相关安全研究机构和媒体估计,全世界约有1/16的Android手机受到该漏洞影响,对于那些集成有Google服务的手机,更新Google Webkit组件即可解决问题;但对于为数众多的没有Google服务,而又依赖于微信的国行手机而言,除非微信团队更新浏览器底层代码,否则他们的手机将永远暴露在被控制或破坏的安全威胁之下。
你……中招了么?
【本文图片来自网络】
