QQ作为国内最为强大的即时通讯软件,其庞大的用户群一直左右着IM软件的发展,在其2003Ⅲ正式版中又再加入了更多的新功能,如视频/语音聊天、共享文件服务、腾讯手机短讯通等。但不幸的是,QQ的安全问题也随着它功能的增强而增加,这对于偶尔使用QQ的用户影响不大,但对那些已经将QQ作为日常生活中不可分割的一部分的网民来说,QQ的安全性是他们必需要重视的问题。在本文中,我们就一起来剖析3月5日发布的QQ 2003Ⅲ 正式版存在的安全隐患,希望腾讯能及时堵住这些安全漏洞,网民们在使用QQ 2003Ⅲ 正式版时,请根据本文的介绍做好自我防护! 非常规下载 共享文件夹安全问题 首先我们先看看腾讯QQ最新开通的共享文件夹服务,该服务可以让我们自定义一个或多个文件夹,开放给网友进行文件下载。在QQ面板上单击“QQ菜单→工具→共享文件”,即可打开共享文件夹。 安全问题描述 为了更好地描述这个安全问题,让我们先做个实验:假设A君开设了一个名为QQBug的共享文件夹,而B君则通过QQ的共享功能从该文件夹中下载文件。我们发现,如果B君在下载文件的过程中,A君突然将共享文件夹改为“取消共享”的话,按理说B君应该下载不了那些共享文件了,但事实恰恰相反:B君在不刷新该共享目录时,仍然可以不紧不慢地下载他所需要的文件,甚至在B君刷新了A君的共享文件夹列表后,该文件也可以照样传输!当这个情况让A君发现后,A君却无法对B君进行任何有关阻止下载的操作,因为QQ根本没有提供这样的菜单让用户选择。 安全问题分析 QQ的共享文件夹功能存在的设计隐患,可让对方用户下载其他用户已经取消共享的文件,从而导致了共享方的损失,这个安全问题带来的后果是比较严重的:有经验的用户或黑客,可以从这个安全问题里分析出更多有用的信息,令对方的损失进一步扩大。希望腾讯公司能尽快升级QQ版本,针对这个Bug做出修订。 解决办法 由于共享文件夹的缺陷,普通用户只能采取断线、退出QQ等方法制止对方继续下载。 特别提示 由于共享文件夹相当于一个基本的P2P软件,因此文件夹里可能有木马等病毒,对下载回来的文件一定要用最新版本的杀毒软件查杀病毒。 恶意代码横行 自定义面板安全问题 QQ的自定义面板服务可以让网友自由定制喜欢的网页作为面板,作为QQ的免费功能,它与共享文件夹一样存在着不容忽视的安全隐患。 安全问题描述 单击QQ面板上的“收藏→设置”,就能设置我们喜爱的网站作为面板,但安全问题也因此而起:由于这些页面可以是任何可执行脚本的HTML网页,因此当我们设置了一些具有恶意脚本的网页时,其情形就像浏览器“中招”一样,轻则被修改系统,重则被格式化硬盘。别以为我在吓唬你,在测试这个功能的时候我们选用了一些能不断打开新窗口的网页,还有一些包含恶意脚本的页面,结果发现有些在IE浏览器里面可以使用Ctrl Enter阻止弹出警告框的页面,在QQ面板里没有给予很好的支持,导致窗口越开越多,警告框一个接一个地出现,严重地消耗了系统的资源。因此,如果网页包含的是不再是弹出窗口而是格式化硬盘的代码的话…… 安全问题分析 QQ面板很高的自由度令恶意代码和网页有可乘之机。在现在这个网络病毒泛滥的时代,如果这种问题未在进一步扩大化前进行修订的话,不怀好意的人甚至可以利用这个问题广泛传播病毒。 解决办法 网页中的恶意代码常常令人防不胜防,建议那些主要使用QQ聊天的用户不要使用该功能。而对那些比较有经验的朋友,建议你们在添加自定义面板时,先确认该网页没有安全问题。 短信轰炸的帮凶 腾讯短讯通安全问题 短信作为现今各大营运商的重要赢利工具,它的新功能不断地被发掘出来。现在,QQ用户可以向已绑定手机的朋友发送短消息、铃声和图片。 安全问题描述 QQ的短讯通功能可以向好友发送不同的短消息,如图1所示。但我们在使用过程中发现,用一个未绑定手机的用户可以进行短消息的连续发送,而接收方只能被动地接受这些短信。 我们为此做了一个比较残酷的实验:用QQ短讯通的发关短信祝福语功能,在3分钟内发送了超过30条短信给绑定手机的用户,该手机先断断续续地收到几条短信,但在过了3~4分钟后,手机突然不间断地响起接收短信的音乐。拿起手机一看,刚才我们用短讯通发的消息全部都一股脑儿地接收到了,只好一边删除一边接收新的信息。 安全问题分析 这种密集型的手机短消息发送,就是最近讨论得很激烈的手机被轰炸的问题。而我们也从这个实验中看到,作为被动接收的一方,可以在短时间内被短消息批量攻击而无还手之力,严重地影响了手机用户正常的生活和工作,相信大部分用户都不会喜欢。 短讯通作为QQ重点推介功能,我们觉得腾讯应该对短消息的发送进行高级一点的设置和防御,比如说在1分钟之内不得发送相同内容的信息多少条,或者限制QQ用户每个小时的短信息发送量,以减轻短消息轰炸手机的可能性。 解决办法 腾讯公司提供了一个可以拒绝QQ发送短消息给手机的功能——分项取消服务指令“0000”:如你想取消手机定制的单项包月服务,可编辑短信“0000”发送到“1700”,过一会儿你的手机将会收到以下短消息: 1. “回复QX+序号,取消所订购的包月服务: 0 所有订制包月服务 1 第一项服务(你开通的包月业务名称) 2 第二项服务(你开通的包月业务名称) 2. 如果你想取消移动聊天(161)包月服务,请编辑短信00000发送至161取消服务。 3. 如果你想取消WAP服务中的QQ聊天包月服务,请用手机WAP功能登录梦网首页取消包月服务。 “必杀技” 一步退订所有服务指令“00000”:如果想取消手机所定制的所有包月服务,可编辑短信“00000”发到“1700”,你的手机将会收到以下短信息: “你已取消由腾讯公司提供的所有包月服务,从下月起不再收费,腾讯客服电话:0755-83765566” 但这也有个遗憾,就是我们以后再也不能接收到朋友从QQ上给我们发送的短消息了,包括所有的图片与铃声。其中的得失,你可要好好考虑一下。 泄密的FormData.ini文件 不看白不看 腾讯TT安全问题 腾讯TT(Tencent Traveler)是继承了旧的Tencent Explorer浏览系统,以全新的形态出现在我们面前的多页面浏览器。它与QQ结合紧密,我们可以在浏览器中登录QQ,迅速转入腾讯网站、腾讯讨论组、腾讯社区等相关服务。该浏览器还具有自动填表、清除浏览数据、恢复最近浏览页面等功能。而我们此次所发现的问题,就来自上述功能之一的“自动填写表单”。 安全问题描述 一般来说,我们使用自动填写表单功能,是为了能快速地填写一些申请表。经过对腾讯TT的仔细分析,我们发现腾讯TT竟然将表单的数据全部以明文的形式写在腾讯TT安装文件夹根目录的FormData.ini文件里,只要用普通的记事本打开该文件,用户的信息就会一览无遗!如图2所示。 安全问题分析 虽然经过实验证明腾讯TT在保存表单里默认情况下不保存密码,但事实上,我们同样可以通过它的添加数据方式进行密码保存。要是有某位仁兄为了省事而将网络银行等信息一股脑儿地全输进去的话,那损失的也许就不只是几个信箱和ID那么简单了。显然,无论腾讯TT基于什么理由让填表的数据以明文的形式存在,都让人感觉它制作的潦草马虎。 解决办法 如果你喜欢用腾讯TT进行表单的保存的话,应该注意不要将一些重要的和敏感的资料填上,尤其是密码和密码寻回的问题与答案。手工填写虽然麻烦一些,但至少不会给别有用心的人以可乘之机。 QQ 2003 Ⅲ正式版虽然针对某些Bug进行了修订和功能上的完善,但其中的共享文件夹、短讯通、腾讯TT、自定义面板上还存在着不少安全隐患。而据我们的分析,一旦这些隐患被不怀好意的人利用,很可能直接就会造成QQ用户的损失。 不过,虽然说了这么多QQ不安全的理由,但我们的用意,只是帮助QQ用户更好地做好自我防护。实际上,QQ2003 Ⅲ 正式版添加了许多强大的功能,还对以前版本导致QQ不稳定的代码进行了改进,所以当我们试用了这么多功能后,它还没有发生过一次异常退出,在稳定性方面的确进步很大。