CNNVD首发 || 关于微信“藏蛟”漏洞情况的通报

一点号CNNVD安全动态昨天

近日，国家信息安全漏洞库（CNNVD）收到关于微信Android客户端访问控制错误漏洞（CNNVD-201701-100）的情况报送，并于第一时间与腾讯安全应急响应中心（TSRC）进行了沟通。TSRC收到漏洞通报后，确认该漏洞存在，并于1月10日确认漏洞已修复。漏洞相关情况如下：

一、漏洞简介

WeChat）是中国腾讯（Tencent）公司的一套跨平台的免费通讯工具。该工具支持发送语音短信、视频、图片和文字等。微信Android客户端是针对于Android系统推出的版本。

微信Android客户端存在访问控制错误漏洞（CNNVD-201701-100）。该漏洞是由于微信客户端收藏功能未做权限校验，使得攻击者可以在普通权限的情况下，通过本地木马或者恶意APP获取该客户端的数据库文件，通过某种方式解密该文件后进而获得用户的隐私信息并上传到远程服务器。

二、漏洞危害

攻击者可通过本地木马或者恶意利用该漏洞访问微信客户端的任意私有目录，窃取数据库文件并解密，从而得到用户的隐私信息，例如好友列表，聊天记录等。

三、修复措施

目前，微信官方已在6.5.3及以上版本修复了该漏洞，对于历史版本也以Android热补丁技术修复了该漏洞。

本报告由蚂蚁金服巴斯光年安全实验室(AFLSLab)提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

联系方式: cnnvd@itsec.gov.cn