微信爆出惊人安全漏洞 马化腾柳岩等人被袭

作者：王欣 2012-10-24 17:00:15安全 目前随着互联网SNS的微信热潮和3G普及，人与人之间沟通方式越来越多样化。爆出但是惊人其中也爆出了大量的安全问题，集中反映出互联网产品安全防护的安全滞后以及网友计算机水平提升。

目前随着互联网SNS的漏洞热潮和3G普及，人与人之间沟通方式越来越多样化。马化但是腾柳其中也爆出了大量的安全问题，集中反映出互联网产品安全防护的人被滞后以及网友计算机水平提升。目前被广泛使用的微信微信就中招，一位来自WooYun的爆出强力网友对微信进行了破解，最终在微信找回密码环节发现了漏洞。惊人

该网友通过抓包的安全方式获取微信反馈的信息包，解包之后发现微信使用的漏洞是检验手机号码+验证码的机制进行密码重置，数据包未经加密，马化内容公开且数据包可以轻易被伪造。腾柳经过研究和确认，只要得到正确的验证码，即可对微信密码进行重置。而为了安全起见，微信设置了频繁提交校验机制。这样就确认了破解存在的两个难点，第一自然是如何获取正确的校验码，第二则是穷举的障碍：校验码提交次数限制。

经过研究发现，微信服务器对于频繁提交次数的限制是通过手机号码+一位数字验证的，但可以通过特殊方式破解提交次数限制，反复提交。这样便打通了使用穷举法进行破解的途径，剩下的穷举验证码的步骤就简单多了。

该网友进一步发现了微信验证码的取值范围，通过穷举法只用3分钟便攻破微信。最后该网友通过该方法获得柳岩经纪人的微信号码，再通过离线信息获得了柳岩的QQ号码；并攻破另一位腾讯高管的微信，假借其名义向马化腾发送了一条微信留言。

限于微信安全性以及道德原因，本新闻不公布具体破解流程。

责任编辑：蓝雨泪 来源： 天极网 安全漏洞微信腾讯

(责任编辑：娱乐)