非常規下載
共享文件夾安全問題
首先我們先看看騰訊QQ最新開通的共享文件夾服務,該服務可以讓我們自定義一個或多個文件夾,開放給網友進行文件下載。在QQ面板上單擊“QQ菜單→工具→共享文件”,即可打開共享文件夾。
安全問題描述 為了更好地描述這個安全問題,讓我們先做個實驗:假設A君開設了一個名為QQBug的共享文件夾,而B君則通過QQ的共享功能從該文件夾中下載文件。我們發現,如果B君在下載文件的過程中,A君突然將共享文件夾改為“取消共享”的話,按理說B君應該下載不了那些共享文件了,但事實恰恰相反:B君在不刷新該共享目錄時,仍然可以不緊不慢地下載他所需要的文件,甚至在B君刷新了A君的共享文件夾列表后,該文件也可以照樣傳輸!當這個情況讓A君發現后,A君卻無法對B君進行任何有關阻止下載的操作,因為QQ根本沒有提供這樣的菜單讓用戶選擇。
安全問題分析 QQ的共享文件夾功能存在的設計隱患,可讓對方用戶下載其他用戶已經取消共享的文件,從而導致了共享方的損失,這個安全問題帶來的后果是比較嚴重的:有經驗的用戶或黑客,可以從這個安全問題里分析出更多有用的信息,令對方的損失進一步擴大。希望騰訊公司能盡快升級QQ版本,針對這個Bug做出修訂。
解決辦法 由于共享文件夾的缺陷,普通用戶只能采取斷線、退出QQ等方法制止對方繼續下載。
特別提示 由于共享文件夾相當于一個基本的P2P軟件,因此文件夾里可能有木馬等病毒,對下載回來的文件一定要用最新版本的殺毒軟件查殺病毒。
惡意代碼橫行
自定義面板安全問題
QQ的自定義面板服務可以讓網友自由定制喜歡的網頁作為面板,作為QQ的免費功能,它與共享文件夾一樣存在著不容忽視的安全隱患。
安全問題描述 單擊QQ面板上的“收藏→設置”,就能設置我們喜愛的網站作為面板,但安全問題也因此而起:由于這些頁面可以是任何可執行腳本的HTML網頁,因此當我們設置了一些具有惡意腳本的網頁時,其情形就像瀏覽器“中招”一樣,輕則被修改系統,重則被格式化硬盤。別以為我在嚇唬你,在測試這個功能的時候我們選用了一些能不斷打開新窗口的網頁,還有一些包含惡意腳本的頁面,結果發現有些在IE瀏覽器里面可以使用Ctrl+Enter阻止彈出警告框的頁面,在QQ面板里沒有給予很好的支持,導致窗口越開越多,警告框一個接一個地出現,嚴重地消耗了系統的資源。因此,如果網頁包含的是不再是彈出窗口而是格式化硬盤的代碼的話……
安全問題分析 QQ面板很高的自由度令惡意代碼和網頁有可乘之機。在現在這個網絡病毒泛濫的時代,如果這種問題未在進一步擴大化前進行修訂的話,不懷好意的人甚至可以利用這個問題廣泛傳播病毒。
解決辦法 網頁中的惡意代碼常常令人防不勝防,建議那些主要使用QQ聊天的用戶不要使用該功能。而對那些比較有經驗的朋友,建議你們在添加自定義面板時,先確認該網頁沒有安全問題。
短信轟炸的幫兇
騰訊短訊通安全問題
短信作為現今各大營運商的重要贏利工具,它的新功能不斷地被發掘出來。現在,QQ用戶可以向已綁定手機的朋友發送短消息、鈴聲和圖片。
安全問題描述 QQ的短訊通功能可以向好友發送不同的短消息,如圖1所示。但我們在使用過程中發現,用一個未綁定手機的用戶可以進行短消息的連續發送,而接收方只能被動地接受這些短信。
我們為此做了一個比較殘酷的實驗:用QQ短訊通的發關短信祝福語功能,在3分鐘內發送了超過30條短信給綁定手機的用戶,該手機先斷斷續續地收到幾條短信,但在過了3~4分鐘后,手機突然不間斷地響起接收短信的音樂。拿起手機一看,剛才我們用短訊通發的消息全部都一股腦兒地接收到了,只好一邊刪除一邊接收新的信息。
安全問題分析 這種密集型的手機短消息發送,就是最近討論得很激烈的手機被轟炸的問題。而我們也從這個實驗中看到,作為被動接收的一方,可以在短時間內被短消息批量攻擊而無還手之力,嚴重地影響了手機用戶正常的生活和工作,相信大部分用戶都不會喜歡。
短訊通作為QQ重點推介功能,我們覺得騰訊應該對短消息的發送進行高級一點的設置和防御,比如說在1分鐘之內不得發送相同內容的信息多少條,或者限制QQ用戶每個小時的短信息發送量,以減輕短消息轟炸手機的可能性。
解決辦法 騰訊公司提供了一個可以拒絕QQ發送短消息給手機的功能——分項取消服務指令“0000”:如你想取消手機定制的單項包月服務,可編輯短信“0000”發送到“1700”,過一會兒你的手機將會收到以下短消息:
1. “回復QX+序號,取消所訂購的包月服務:
0 所有訂制包月服務
1 第一項服務(你開通的包月業務名稱)
2 第二項服務(你開通的包月業務名稱)
2. 如果你想取消移動聊天(161)包月服務,請編輯短信00000發送至161取消服務。
3. 如果你想取消WAP服務中的QQ聊天包月服務,請用手機WAP功能登錄夢網首頁取消包月服務。
“必殺技” 一步退訂所有服務指令“00000”:如果想取消手機所定制的所有包月服務,可編輯短信“00000”發到“1700”,你的手機將會收到以下短信息:
“你已取消由騰訊公司提供的所有包月服務,從下月起不再收費,騰訊客服電話:0755-83765566”
但這也有個遺憾,就是我們以后再也不能接收到朋友從QQ上給我們發送的短消息了,包括所有的圖片與鈴聲。其中的得失,你可要好好考慮一下。
不看白不看
騰訊TT安全問題
騰訊TT(Tencent Traveler)是繼承了舊的Tencent Explorer瀏覽系統,以全新的形態出現在我們面前的多頁面瀏覽器。它與QQ結合緊密,我們可以在瀏覽器中登錄QQ,迅速轉入騰訊網站、騰訊討論組、騰訊社區等相關服務。該瀏覽器還具有自動填表、清除瀏覽數據、恢復最近瀏覽頁面等功能。而我們此次所發現的問題,就來自上述功能之一的“自動填寫表單”。
安全問題描述 一般來說,我們使用自動填寫表單功能,是為了能快速地填寫一些申請表。經過對騰訊TT的仔細分析,我們發現騰訊TT竟然將表單的數據全部以明文的形式寫在騰訊TT安裝文件夾根目錄的FormData.ini文件里,只要用普通的記事本打開該文件,用戶的信息就會一覽無遺!如圖2所示。
安全問題分析 雖然經過實驗證明騰訊TT在保存表單里默認情況下不保存密碼,但事實上,我們同樣可以通過它的添加數據方式進行密碼保存。要是有某位仁兄為了省事而將網絡銀行等信息一股腦兒地全輸進去的話,那損失的也許就不只是幾個信箱和ID那么簡單了。顯然,無論騰訊TT基于什么理由讓填表的數據以明文的形式存在,都讓人感覺它制作的潦草馬虎。
解決辦法 如果你喜歡用騰訊TT進行表單的保存的話,應該注意不要將一些重要的和敏感的資料填上,尤其是密碼和密碼尋回的問題與答案。手工填寫雖然麻煩一些,但至少不會給別有用心的人以可乘之機。
QQ 2003 Ⅲ正式版雖然針對某些Bug進行了修訂和功能上的完善,但其中的共享文件夾、短訊通、騰訊TT、自定義面板上還存在著不少安全隱患。而據我們的分析,一旦這些隱患被不懷好意的人利用,很可能直接就會造成QQ用戶的損失。
不過,雖然說了這么多QQ不安全的理由,但我們的用意,只是幫助QQ用戶更好地做好自我防護。實際上,QQ2003 Ⅲ 正式版添加了許多強大的功能,還對以前版本導致QQ不穩定的代碼進行了改進,所以當我們試用了這么多功能后,它還沒有發生過一次異常退出,在穩定性方面的確進步很大。
圖1 騰訊短訊通操作界面
圖2 泄密的FormData.ini文件
