|
非常规下载-共享文件夹安全问题 首先我们先看看腾讯QQ最新开通的共享文件夹服务,该服务可以让我们自定义一个或多个文件夹,开放给网友进行文件下载。在QQ面板上单击“QQ菜单→工具→共享文件”,即可打开共享文件夹。 安全问题描述 为了更好地描述这个安全问题,让我们先做个实验:假设A君开设了一个名为QQBug的共享文件夹,而B君则通过QQ的共享功能从该文件夹中下载文件。我们发现,如果B君在下载文件的过程中,A君突然将共享文件夹改为“取消共享”的话,按理说B君应该下载不了那些共享文件了,但事实恰恰相反:B君在不刷新该共享目录时,仍然可以不紧不慢地下载他所需要的文件,甚至在B君刷新了A君的共享文件夹列表后,该文件也可以照样传输!当这个情况让A君发现后,A君却无法对B君进行任何有关阻止下载的操作,因为QQ根本没有提供这样的菜单让用户选择。 安全问题分析 QQ的共享文件夹功能存在的设计隐患,可让对方用户下载其他用户已经取消共享的文件,从而导致了共享方的损失,这个安全问题带来的后果是比较严重的:有经验的用户或黑客,可以从这个安全问题里分析出更多有用的信息,令对方的损失进一步扩大。希望腾讯公司能尽快升级QQ版本,针对这个Bug做出修订。 解决办法 由于共享文件夹的缺陷,普通用户只能采取断线、退出QQ等方法制止对方继续下载。 特别提示 由于共享文件夹相当于一个基本的P2P软件,因此文件夹里可能有木马等病毒,对下载回来的文件一定要用最新版本的杀毒软件查杀病毒。 短信作为现今各大营运商的重要赢利工具,它的新功能不断地被发掘出来。现在,QQ用户可以向已绑定手机的朋友发送短消息、铃声和图片。 安全问题描述 QQ的短讯通功能可以向好友发送不同的短消息,如图1所示。但我们在使用过程中发现,用一个未绑定手机的用户可以进行短消息的连续发送,而接收方只能被动地接受这些短信。 安全问题分析 这种密集型的手机短消息发送,就是最近讨论得很激烈的手机被轰炸的问题。短讯通作为QQ重点推介功能,我们觉得腾讯应该对短消息的发送进行高级一点的设置和防御,比如说在1分钟之内不得发送相同内容的信息多少条,或者限制QQ用户每个小时的短信息发送量,以减轻短消息轰炸手机的可能性。 解决办法 腾讯公司提供了一个可以拒绝QQ发送短消息给手机的功能——分项取消服务指令“0000”:如你想取消手机定制的单项包月服务,可编辑短信“0000”发送到“1700”,过一会儿你的手机将会收到以下短消息: 1. “回复QX+序号,取消所订购的包月服务: 0 所有订制包月服务 1 第一项服务(你开通的包月业务名称) 2 第二项服务(你开通的包月业务名称) 2. 如果你想取消移动聊天(161)包月服务,请编辑短信00000发送至161取消服务。 3. 如果你想取消WAP服务中的QQ聊天包月服务,请用手机WAP功能登录梦网首页取消包月服务。 “必杀技” 一步退订所有服务指令“00000”:如果想取消手机所定制的所有包月服务,可编辑短信“00000”发到“1700”,你的手机将会收到以下短信息: “你已取消由腾讯公司提供的所有包月服务,从下月起不再收费,腾讯客服电话:0755-83765566” 但这也有个遗憾,就是我们以后再也不能接收到朋友从QQ上给我们发送的短消息了,包括所有的图片与铃声。其中的得失,你可要好好考虑一下。 腾讯TT(Tencent Traveler)是继承了旧的Tencent Explorer浏览系统,以全新的形态出现在我们面前的多页面浏览器。该浏览器还具有自动填表、清除浏览数据、恢复最近浏览页面等功能。而我们此次所发现的问题,就来自上述功能之一的“自动填写表单”。 安全问题描述 一般来说,我们使用自动填写表单功能,是为了能快速地填写一些申请表。经过对腾讯TT的仔细分析,我们发现腾讯TT竟然将表单的数据全部以明文的形式写在腾讯TT安装文件夹根目录的FormData.ini文件里,只要用普通的记事本打开该文件,用户的信息就会一览无遗!如图2所示 解决办法 如果你喜欢用腾讯TT进行表单的保存的话,应该注意不要将一些重要的和敏感的资料填上,尤其是密码和密码寻回的问题与答案。手工填写虽然麻烦一些,但至少不会给别有用心的人以可乘之机。 QQ 2003 Ⅲ正式版虽然针对某些Bug进行了修订和功能上的完善,但其中的共享文件夹、短讯通、腾讯TT、自定义面板上还存在着不少安全隐患。而据我们的分析,一旦这些隐患被不怀好意的人利用,很可能直接就会造成QQ用户的损失。 不过,虽然说了这么多QQ不安全的理由,但我们的用意,只是帮助QQ用户更好地做好自我防护。实际上,QQ2003 Ⅲ 正式版添加了许多强大的功能,还对以前版本导致QQ不稳定的代码进行了改进,所以当我们试用了这么多功能后,它还没有发生过一次异常退出,在稳定性方面的确进步很大。 |