近日，360手機衛士阿爾法團隊(Alpha Team)獨家發現微信遠程任意代碼執行漏洞，將其命名為badkernel。360手機衛士阿爾法團隊發現，通過此漏洞攻擊者可獲取微信的完全控制權，危及用戶朋友圈、好友信息、聊天記錄甚至是微信錢包，可使上億微信用戶受到影響，危害巨大。目前，阿爾法團隊的相關研究人員已經將此漏洞報告給騰訊應急響應中心并提供了修復建議。

　　圖1: 360手機衛士獨家發現微信重大漏洞 或影響數億用戶

　　360手機衛士阿爾法團隊研究發現，利用badkernel漏洞可以進行準蠕蟲式的傳播，單個用戶微信中招后可通過發送朋友圈和群鏈接傳播;還可獲取用戶的隱私信息，包括通訊錄、短信、進行錄音、錄像等;同時可能造成用戶的財產損失，通過記錄微信支付密碼，進行自動轉賬和發紅包的行為。

　　圖2: 360手機衛士團隊第一時間向騰訊提交漏洞分析并提供修復建議

　　并且，用戶在使用微信進行掃一掃功能、掃描二維碼功能、點擊朋友圈鏈接、點擊微信群中的鏈接等日常使用場景時最易受到攻擊。用戶一個再平常不過的動作都可能致使其微信權限被利用，產生隱私泄露、財產損失等威脅。

　　據360手機衛士阿爾法團隊透露，badkernel漏洞位于微信使用的x5內核中，x5內核是經過騰訊定制過的chrome瀏覽器內核，所以使用了 x5內核的應用都可能都受到此漏洞的影響。360手機衛士阿爾法團隊從x5的官網上(x5.tencent.com)發現，微信、手機QQ、QQ空間、京東、58同城、搜狐視頻、新浪新聞等應用都使用了x5內核。

　　其中，由于微信已經成為手機用戶最為常用的APP，各手機廠商也愿意向微信開放授權，大部分的權限管理軟件也不會對微信的權限使用做提示，因此對于微信用戶來說，該漏洞危害巨大。在發現漏洞的第一時間，360手機衛士阿爾法團隊已經將此漏洞提交給騰訊應急響應中心并提供了修復建議，騰訊已經內部修復此漏洞并開始向用戶推送更新。

　　圖3: 360手機衛士提供漏洞檢測方式

　　360手機衛士阿爾法團隊第一時間為用戶提供了檢測方式，用戶可通過在任意聊天對話框中輸入“//gettbs”可判定是否已經收到此漏洞的更新。如果tbsCoreVersion大于036555則說明該漏洞已經修復，用戶無需擔心，否則則說明微信受該漏洞影響。

　　在此，360手機衛士提醒用戶，在耐心等待更新的同時請緊遵三個不要，不要隨便掃描二維碼，不要隨意點擊朋友圈鏈接，不要隨意點擊微信群內的鏈接，以防微信被遠程控制�？梢酝ㄟ^360手機衛士安全掃碼檢驗二維碼安全，同時還可抵御利用此漏洞惡意程序的攻擊。

　　360手機衛士阿爾法團隊(Alpha Team)隸屬于360手機衛士事業部，為360手機衛士提供安全研究支持和成果轉化，致力于Android系統漏洞以及移動瀏覽器漏洞的挖掘與利用。阿爾法團隊近兩年來因發現20多個漏洞而多次獲得Google公開致謝。