随着互联网、人工智能、无线网络和云计算、大数据应用,智能硬件安全也备受关注。今年8月,360手机卫士阿尔法团队队发现微信远程任意代码执行漏洞:BadKernel!此漏洞危害等级为“严重”,通过此漏洞攻击者可获取微信的完全控制权,危及微信隐私、聊天记录甚至微信钱包。也就是说,在微信上扫一下二维码或者点了一下朋友圈链接就能自动转账、发红包,后果不堪设想。
据该团队透露,BadKernel漏洞位于微信使用的x5内核中,x5内核是经过腾讯定制过的chrome浏览器内核,所有使用了x5内核的应用都可能受到此漏洞的影响,引起了国内外媒体以及安全公司的广泛关注。
在近日举办的2016 SyScan360国际前瞻信息安全会议上,360手机卫士安全研究员龚广和邓袁就为与会嘉宾解析了这个曾引发全球关注、影响数亿用户的漏洞——BadKernel。实际上,BadKernel漏洞是由于源代码中的一个笔误而造成的,容易导致关键对象信息泄露,从而进一步导致任意代码执行。因Chrome V8 作为开源的高性能 JS 引擎,几乎垄断了整个 App 市场,成为网页浏览必不可少的组件,该漏洞的存在也影响甚广。
Chrome Mobile、Opera Mobile,以及基于 Android 4.4.4 至 5.1 版本系统的 WebView 控件开发的手机 App 均可能受该漏洞影响,普遍存在于包括 LG、三星、摩托罗拉、华为、HTC 等大部分热门手机中。据估算,全球大约每十六台 Android 手机中,就有一台受到 BadKernel 漏洞影响。微信、手机QQ、QQ空间、京东、58同城、搜狐视频、新浪新闻等使用了 X5 内核的应用也受到威胁,直接影响到数亿用户的安全。
想要知道自己手机上是否存在这个漏洞的话,微信用户可在任意聊天对话框中输入“//gettbs”判定是否已经收到此漏洞补丁更新。如果tbsCoreVersion大于036555则说明该漏洞已经修复,否则微信仍存该漏洞。
网络安全方面相关人士提醒到,在耐心等待更新的同时,请紧遵三个不要:
①不要随便扫描二维码
②不要随意点击朋友圈链接
③不要随意点击微信群内的链接,以防微信被远程控制。
【本文图片来自网络】
