微信小程式已經刷爆朋友圈,當然,有些時候,關於網際網路的安全總是走在前線,那麼微信小程式有漏洞嗎?信小程式會成為黑客盜紅包的通道嗎?文中小編將會為大家帶來解答。
微信小程式有漏洞嗎?
為了搞清這個問題,諮詢了幾位黑客大牛,整理回答如下:
1、從App到小程式,有一些漏洞會一直存在吧?
小程式改變了業務前端實現的形式,但是基本的業務沒有變化。所以對於小程式服務商而言,有兩方面風險依然存在:
Web介面的漏洞。例如xss、csrf、各類越權等等。這類是服務構架本身的漏洞。
業務功能的邏輯漏洞。例如:訂單額任意修改,驗證碼回傳、找回密碼設計缺陷等等。這些也是後端服務本身的漏洞。
2、小程式堵上了哪些漏洞的可能?
傳統的App客戶端,由於程式碼比較複雜,體系比較大,經常存在很多漏洞。現在,由微信提供介面,服務商只需要呼叫微信的介面就可以實現服務功能。這使得以前針對App客戶端的攻擊行為失去了物件。
小程式跑在微信中,以前人們關心App客戶端手否存在漏洞,現在人們需要關心微信是否安全了。
【小程式和微信的關係,類似於App和系統的關係】
舉個例子。
App客戶端會直接呼叫系統服務,所以漏洞很多跟系統版本相關,比如Android的webview漏洞,uxss漏洞等。
以Android為例,微信自己使用的是修改了Chrome核心的X5核心,修復了webview遠端程式碼執行漏洞,所以即使在低版本的Android系統上也不用考慮這個漏洞的影響。
3、那麼對於騰訊自己的X5核心,如果爆出了新的漏洞,是否會影響小程式呢?
沒錯。理論上說,小程式的漏洞應該會受微信客戶端本身的影響,比如出現了一個x5核心新的uxss漏洞,有可能就能造成這些應用的敏感資訊洩露。
4、是否可以完整科普一下微信小程式的安全結構呢?
微信小程式是一種外掛。
外掛框架的基本特點是:基礎程式(微信)提供服務給外掛(小程式)。
在Android上,小程式使用X5核心介面;
而在iOS上,小程式使用的是JS Core介面。
接下來我們以iOS為例進行解釋。
微信是通過將一些服務(比如:繪圖等)通過JS介面暴露給小程式。
我理解的安全模型是:小程式環境--->微信環境--->系統環境。
【小程式安全模型:小程式環境--->微信環境--->系統環境】
5、那麼,對於微信小程式來說,存在哪些安全風險呢?
由於微信主程式會通過JS介面向小程式暴露規定的服務。如果小程式可以獲取到規定服務外的資訊(比如:使用者的錢餘額等)即是資訊洩露。
總之,可以將微信理解成瀏覽器,將小程式理解成網頁。如果執行小程式可以在微信中執行任意程式碼,就是傳統意義上的遠端程式碼執行。
例如:
1)攻擊微信。理論上來說,如果可以突破小程式的執行環境(JS),在微信主程式中獲得程式碼執行,就成功製造了程式碼執行的漏洞,如:執行一個小程式,就可以往任意群中發紅包。
【通過拿到微信主程式程式碼許可權而攻擊紅包功能】
2)實現小程式之間的跨站攻擊。可能還存在一些其他型別的漏洞,實現跨站攻擊。例如從一個小程式訪問了其他小程式的資料。
【通過拿到微信主程式程式碼許可權而攻擊紅包功能】
2)實現小程式之間的跨站攻擊。可能還存在一些其他型別的漏洞,實現跨站攻擊。例如從一個小程式訪問了其他小程式的資料。
【腦洞:通過小程式,一步步佔領系統控制權】
6、以上的這些攻擊方法,出現的可能性有多大呢?以上所說的攻擊可能需要極強的攻擊能力。但是真實的場景下,可能很多攻擊都來自指令碼小子。攻擊效果不一定會到如上所說的那麼嚴重,估計大多數也就是獲取一些資訊。
7、預計微信會做哪些措施來對抗可能存在的威脅呢?所有微信小程式一定會接受微信的稽核。理論上惡意小程式是不會被上架的。
當然,蘋果也不會允許惡意程式上架,但是還有有人成功把Pangu 9.3的越獄程式成功上傳到AppStore,雖然很快就下架了。這裡的問題是,微信可能無法自動檢測出某些惡意程式,或者稽核人員的專業背景可能沒有那麼強。
基本的攻擊路徑是:攻擊了小程式後,然後通過小程式實現方面的漏洞進而攻擊微信。所以按道理,微信應該為小程式建立一個沙盒環境,不知道微信是否這樣做。
微信小程式會成為黑客盜紅包的通道嗎?目前看來,沒這個必要。
根據以往的經驗,騰訊在自身產品的安全性上,會投入巨大的精力。而對於皇冠級產品微信,相信騰訊更是不敢有絲毫疏漏。就在小程式退出的當天,TSRC(騰訊安全應急響應中心)也釋出了英雄帖《微信小程式如約而至,安全需要你的守護》,宣佈即日起到2017年1月20日,“重金”收集有關微信小程式的漏洞和威脅情報。
