阿里幫騰訊發現微信的一個漏洞並給予提醒，這才是良性競爭的典範

摘要：近日阿里安全獵戶座實驗室和潘多拉實驗室發現微信存在一項嚴重風險的系統漏洞：攻擊者可完整克隆受害者微信賬號和聊天記錄，並實現微信錢包支付和竊取隱私等操作，而實現此舉只需一條信息！阿里安全實驗室第一時間將漏洞信息上報給了國家相關部門，並同步給了騰訊公司。微信官方則發布聲明程，已緊急上線新版本修復這一漏洞，這對老冤家又上演了一出相愛相殺的戲碼。

微信克隆漏洞圖示

移動支付在中國已經是普及程度非常高的一項操作了，其中阿里騰訊兩家公司在線上線下份額最高，用戶熟悉度也最高。可是，看似已經成熟的移動支付卻仍然存在嚴重的安全隱患。

近日阿里安全實驗室和潘多拉實驗室就發現了其中的「秘密」：攻擊者向受害者發送一條包含鏈接的微信信息，受害者接收並點擊后，會在無任何提示的情況下被攻擊者克隆賬戶。這次入侵不僅能克隆歷史聊天記錄，甚至還能同步接收受害者的新消息，並實現微信錢包的各項操作。阿里隨機將情況上報給了國家相關部門，並同步給了騰訊公司。

騰訊官方通過「微信派」公眾號承認了漏洞存在的事實，表示已經緊急修復了這一漏洞，請用戶儘快更新至6.6.3版本，並對阿里實驗室的「友情舉報」表達了感謝。

騰訊官方回應

值得注意的是，此次安全漏洞暫只涉及安卓客戶端。據阿里安全實驗室方面的研究顯示，此次微信的漏洞雖然簡單，但是影響範圍非常大，理論上可以通過遠程代碼實現任意操作，除微信最新發布的6.6.3版本，之前所有的微信安卓版本都可能受影響。而騰訊官方得回應稱，無論更新與否，用戶的微信都是安全的。

此次事件沒有造成巨大影響，還要得益於阿里實驗室的「友情舉報」，阿里安全團隊按程序上報有關部門也是合理合法的。兩家公司如今為了線下和線下支付的份額已經開展了數次大戰，但「兩家獨大」仍然是當下不可撼動的事實。

競爭者從來都是劍拔弩張的，可能是消費者的一種偏見。對方都想「搞死」自己，但是也要講究方式方法。阿里團隊沒有坐視漏洞被利用，或利用漏洞搞惡意破壞，影響微信支付的信譽，阿里安全部門值得騰訊的感謝。