微信小程序已經刷爆朋友圈,當然,有些時候,關於互聯網的安全總是走在前線,那麼微信小程序有漏洞嗎?信小程序會成為黑客盜紅包的通道嗎?文中小編將會為大家帶來解答。
微信小程序有漏洞嗎?
為了搞清這個問題,諮詢了幾位黑客大牛,整理回答如下:
1、從App到小程序,有一些漏洞會一直存在吧?
小程序改變了業務前端實現的形式,但是基本的業務沒有變化。所以對於小程序服務商而言,有兩方面風險依然存在:
Web接口的漏洞。例如xss、csrf、各類越權等等。這類是服務構架本身的漏洞。
業務功能的邏輯漏洞。例如:訂單額任意修改,驗證碼回傳、找回密碼設計缺陷等等。這些也是後端服務本身的漏洞。
2、小程序堵上了哪些漏洞的可能?
傳統的App客户端,由於代碼比較複雜,體系比較大,經常存在很多漏洞。現在,由微信提供接口,服務商只需要調用微信的接口就可以實現服務功能。這使得以前針對App客户端的攻擊行為失去了對象。
小程序跑在微信中,以前人們關心App客户端手否存在漏洞,現在人們需要關心微信是否安全了。
【小程序和微信的關係,類似於App和系統的關係】
舉個例子。
App客户端會直接調用系統服務,所以漏洞很多跟系統版本相關,比如Android的webview漏洞,uxss漏洞等。
以Android為例,微信自己使用的是修改了Chrome內核的X5內核,修復了webview遠程代碼執行漏洞,所以即使在低版本的Android系統上也不用考慮這個漏洞的影響。
3、那麼對於騰訊自己的X5內核,如果爆出了新的漏洞,是否會影響小程序呢?
沒錯。理論上説,小程序的漏洞應該會受微信客户端本身的影響,比如出現了一個x5內核新的uxss漏洞,有可能就能造成這些應用的敏感信息泄露。
4、是否可以完整科普一下微信小程序的安全結構呢?
微信小程序是一種插件。
插件框架的基本特點是:基礎程序(微信)提供服務給插件(小程序)。
在Android上,小程序使用X5內核接口;
而在iOS上,小程序使用的是JS Core接口。
接下來我們以iOS為例進行解釋。
微信是通過將一些服務(比如:繪圖等)通過JS接口暴露給小程序。
我理解的安全模型是:小程序環境--->微信環境--->系統環境。
【小程序安全模型:小程序環境--->微信環境--->系統環境】
5、那麼,對於微信小程序來説,存在哪些安全風險呢?
由於微信主程序會通過JS接口向小程序暴露規定的服務。如果小程序可以獲取到規定服務外的信息(比如:用户的錢餘額等)即是信息泄露。
總之,可以將微信理解成瀏覽器,將小程序理解成網頁。如果執行小程序可以在微信中執行任意代碼,就是傳統意義上的遠程代碼執行。
例如:
1)攻擊微信。理論上來説,如果可以突破小程序的執行環境(JS),在微信主程序中獲得代碼執行,就成功製造了代碼執行的漏洞,如:執行一個小程序,就可以往任意羣中發紅包。
【通過拿到微信主程序代碼權限而攻擊紅包功能】
2)實現小程序之間的跨站攻擊。可能還存在一些其他類型的漏洞,實現跨站攻擊。例如從一個小程序訪問了其他小程序的數據。
【通過拿到微信主程序代碼權限而攻擊紅包功能】
2)實現小程序之間的跨站攻擊。可能還存在一些其他類型的漏洞,實現跨站攻擊。例如從一個小程序訪問了其他小程序的數據。
【腦洞:通過小程序,一步步佔領系統控制權】
6、以上的這些攻擊方法,出現的可能性有多大呢?以上所説的攻擊可能需要極強的攻擊能力。但是真實的場景下,可能很多攻擊都來自腳本小子。攻擊效果不一定會到如上所説的那麼嚴重,估計大多數也就是獲取一些信息。
7、預計微信會做哪些措施來對抗可能存在的威脅呢?所有微信小程序一定會接受微信的審核。理論上惡意小程序是不會被上架的。
當然,蘋果也不會允許惡意程序上架,但是還有有人成功把Pangu 9.3的越獄程序成功上傳到AppStore,雖然很快就下架了。這裏的問題是,微信可能無法自動檢測出某些惡意程序,或者審核人員的專業背景可能沒有那麼強。
基本的攻擊路徑是:攻擊了小程序後,然後通過小程序實現方面的漏洞進而攻擊微信。所以按道理,微信應該為小程序創建一個沙盒環境,不知道微信是否這樣做。
微信小程序會成為黑客盜紅包的通道嗎?目前看來,沒這個必要。
根據以往的經驗,騰訊在自身產品的安全性上,會投入巨大的精力。而對於皇冠級產品微信,相信騰訊更是不敢有絲毫疏漏。就在小程序退出的當天,TSRC(騰訊安全應急響應中心)也發佈了英雄帖《微信小程序如約而至,安全需要你的守護》,宣佈即日起到2017年1月20日,“重金”收集有關微信小程序的漏洞和威脅情報。
