当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051181

漏洞标题:伪造微信红包传播的钓鱼链接

相关厂商:腾讯

漏洞作者: 七叶

提交时间:2014-02-18 18:03

修复时间:2014-04-04 18:04

公开时间:2014-04-04 18:04

漏洞类型:钓鱼欺诈信息

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-02-18: 细节已通知厂商并且等待厂商处理中
2014-02-20: 厂商已经确认,细节仅向厂商公开
2014-03-02: 细节向核心白帽子及相关领域专家公开
2014-03-12: 细节向普通白帽子公开
2014-03-22: 细节向实习白帽子公开
2014-04-04: 细节向公众公开

简要描述:

正直2.14情人节,同学在微信群里发了一个情人节的微信红包,以为土豪又大发善心救济我等P民,随即一步步往下点,直到看到“你被骗了”的页面,才发现自己上当了.微信用户量之巨大,与人关系之紧密,毫无疑问已经成为黑产攻击的下一片高地。端午红包,清明红包,中秋红包等等都可能是微信红包钓鱼的好机会。通过紧密的微信群进行传播,不为所知的人为了恶作剧传播给另一个群,成就病毒式的几何级高速传播模式。而且让用户点击次数越多(伪装的越真),实现攻击的次数就可以越多。

详细说明:

聊天页面中的假红包:

fake1.jpg


聊天页面中的真红包:

real1.jpg


第一次点击后的假红包:

fake2.jpg


第二次点击后的假红包(通过相对较大的金额促使继续点击):

fake3.jpg


假红包的产出链接

fake4.jpg


真红包的产出链接(注意对比红圈部分)

real2.jpg


微信消息交互都是以xml形式通过http协议来传递,消息支持链接,图片,文本等形式。为了支持这些形式的消息,微信把某些代码放到白名单里,但没有对外公布,骗子测试出了这个名单里的代码并加以利用,可以伪造一个看上去是正常,实际链接到骗子网站的链接,于是有了上述的结果。
笔者还收到了不同人在群中发的另外两个情人节版微信红包。在顶层图层下面的文字中显示了不同的出品网址,而这些网址并无规律,而且排版也“跑偏了”,制作很粗糙。底层图片是使用的微信红包,文字是通过css后排上去的,应该是由于手机平台和屏幕的问题,导致了金额的数字覆盖了图片上的部分文字。与笔者收到的那份仿真度超高的微信红包还是不具有可比性。

漏洞证明:

微信红包钓鱼是“通过紧密的微信群进行传播,不为所知的人为了恶作剧传播给另一个群,成就病毒式的几何级高速传播模式“,这是从传播方式上分析的。从用户方面,并不知道腾讯会不会由于”新年红包“的火热而推出情人节红包,端午节粽子包,中秋节月饼包之类的内容来继续吸引用户使用微信支付,因此大家抱着围观和好奇的心态都会点击,如果钓鱼红包做的很精致,那么就会骗取用户深入点击,随着点击的深入,用户对于这件事的信任度也会有一定上升。因此成功率也会更高。既然微信客户端远程交互都是通过xml来实现的,那么漏洞自然不少,只是需要测试白名单的内容。 之前也曾传言在微信文本框中可以输入SQL注入脚本,并且成功查看到信息。笔者对这个传言虽然抱有很大的怀疑态度。但是对于钓鱼,点击链接被中木马攻击的可能是百分百相信的。尤其是对于Android平台,碎片化严重导致安全保障不统一,已经成为了众多移动恶意软件的温床。
现在,将盗号这一攻击手法与红包钓鱼结合起来。如果说之前的微信盗号之后可能是发送一些伪造的QQ空间,然后问你是不是认识空间中的人这一手法已经过时,那么什么都不说,直接向所有联系人广播出钓鱼红包,想必会点击的人应该比点击钓鱼链接的人多的多吧。
被钓鱼之后,用户可能被引到外部网站,可能被中木马。木马可能盗取手机资料,可能偷跑流量吸费,可能目标就是微信支付中的银行卡。

修复方案:

建议微信团队对外链能够做到更好的过滤和管控。最好可以结合大数据挖掘技术发现并预防可疑的外链和钓鱼信息。

版权声明:转载请注明来源 七叶@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-02-20 14:41

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无