原创文章

“QQ群共享”跨群上传BUG 事件进展及技术分析

前情提要

24号的时候就发现群共享里多了个病毒压缩包,然后25号又有。

本来以为是群里的人传的,但是看不到昵称,不知道是谁发的,然后就删了。

结果就是那天,又莫名其妙的来了个文件,都是这些病毒和流氓软件捆绑压缩包,我很纳闷,既然是群里传的为啥不显示昵称?说明他们不在群里,那么是不是进来之后退掉了呢?我在网页端查了下该人QQ号码,发现反反复复查到的QQ号码就那几个,分别就是:1944387510、2603049714、2561114273。

我想,难道仅仅是我的这几个群有这些?我有五十多个群,我随便开了一个,结果惊讶的发现那个群一样的文件,上传者也是一样的,然后打开了所有群看群共享,发现有二十多个群有同样的病毒压缩包,QQ上传者不出那三个,他们都不在群里。一天一个QQ貌似最多就允许加10个群左右吧就得出验证码之类的,然后说你网络有问题就不让你加了,何况他们QQ号码等级那么低,根本不可能一天至少窜20多个群,我还询问了其它的群主,都表示曾经有这个文件,但是看到之后没当回事删掉了。

这个就比较可疑了,为啥会这样?这不禁让我想起2011年的时候我发现的那个QQ微博BUG,也就是不知道你密码的情况下,我可以随意上你QQ微博,然后去修改你的资料。当时我发现后,小范围内我们都耍了耍人,开开玩笑,比如跟对方说你QQ被我盗了,然后改他微博名吓唬他们玩,让他改密码之类的之后再改他的微博,有的人甚至重装了系统,现在想想真是比较有意思,不过我们沒拿这个漏洞做坏事之类的。

后来有个懂一点的人感觉我随便改他资料不太对劲,然后问我,本来没想告诉他,但是他老问,我就截了个微博面板的图给他看,然后这家伙似乎知道了一点东西了,研究了一夜终于懂了方法。我跟他说千万不能外传方法,不然会影响到别人的,这家伙满口答应。没想到一天之后,我随便在网上找东西的时候,看见了一个改微博资料的教程,打开一看我非常生气,就是那家伙做的教程教别人改资料,我十分生气,然后我的其他一些朋友有认识腾讯技术人员的,立刻联系了相关人员,只过了几天就封上了这个洞,具体原因就是修改资料的时候没有校验ClientKey的有效性。

这不仅让我联想到这次的QQ群共享事件,我开了抓包工具看了下,发现有个header重定向转向到QQ群共享的页面的,我猜那些人就是这么做的,不过具体ClientKey和长群号的算法我不是很清楚,也没兴趣研究了。

26号我确定事情是这样以后,立刻微博联系了QQ安全中心和相关的客服,QQ安全中心表示此事已经联系相关同事,但尚未找到原因,不过我相信腾讯的实力,应该会很快解决的。何况马总天天说“安全QQ”,他们应该会重视起来。

病毒文件名,小心谨慎!

  • 李宗瑞迷奸60位女明星偷拍视频流出.zip

  • QQ农场无限刷金币辅助2012年8月XX日更新.zip

  • 蛋疼Q群号XXXXXXXXX.zip

  • 各种门事件合集视频 低调传播 防止和谐.zip

  • QQ农场刷水晶.zip

以上是目前已经收集到的文件名,特点就是上传者无昵称且不在群中,从未入过群。24-26日刷的文件下载次数超过十几万,27号到现在刷的文件下载次数在几千左右,这样的文件一定小心,群主看到一定要及时删除!

事件进展

26日,鄙人向腾讯QQ官方发起投诉,腾讯官方人员表示需要联系客服人员。

27日,腾讯官方表示没有发现漏洞,认为是鄙人个人的问题,再次发起投诉,腾讯官方要求提供具体群号,但是“躺着也中枪”的群号十分多,故没有提供。

28日,多人发现此问题,均与鄙人一起投诉,腾讯官方人员依旧认为没有问题,但此时病毒压缩包已经铺天盖地而来。

29日,鄙人表示腾讯依旧没有修复问题,再次提醒官方人员。

30日,经过多人投诉和警告,腾讯终于承认群共享存在跨群上传漏洞,并“低调”封禁。

此漏洞从发现至今,共花费六天解决,若是腾讯相信用户的汇报,及时经过仔细排查,我相信凭腾讯的人员技术,两天就能解决。

漏洞技术分析

(原创,转载务必保留本文章地址)

因为在八月三十日,腾讯已经修复漏洞,已经无法使用该漏洞,故我(Lance)发出本技术分析文。

该漏洞利用QQ群共享BUG——跨群上传,可实现不加群上传文件。具体利用方法如下:

  1. 新注册一个QQ号码,仅加任意一个群,设该群号为1234567。

  2. 打开QQ,并打开刚才加的那个群,利用Cheat Engine工具(俗称CE)搜索刚才的群号。

  3. 关掉群窗口,并多次搜索刚才的群号。

  4. 将得到的基址的项内容全部改为你要改成的QQ群号码,然后再次打开该QQ群聊天窗口。

  5. 你会发现你原来的QQ群号码已经变成了你要改成的QQ群号码。

  6. 打开群共享,直接上传文件即可。

不法分子可能利用此原理制作了批量修改并自动上传的工具。在这里,我呼吁,发现漏洞应及时向相关涉及公司及人员汇报,以便于他们快速修补漏洞,而不是将漏洞告知于其它不法人员牟利,这样首先是不道德的另外用于非法用途更是违法的。及时通知相关公司可以防止甚至避免其它用户利益受到损害。

仅仅是通过这两件事情,腾讯也应该检讨一下是否某些设计确实不周,应对整体安全性进行检查,积极响应用户的反馈,不然“安全QQ”仅仅是一句空话。