微信安全問(wèn)題及防范措施

一、微信原理及架構

1.微信原理

微信是由騰訊公司推出的一款支持S60v3、S60v5、WindowsPhone、Android以及iPhone平臺的即時(shí)通訊(IM)軟件。微信用戶(hù)可以通過(guò)智能手機客戶(hù)端與好友分享文字、圖片、視頻,并支持分組聊天和語(yǔ)音、視頻對講、“附近的人”、“搖一搖”等功能。除了這些基本的社交功能,微信還提供了微信紅包、微信支付等移動(dòng)支付功能。

微信是基于客戶(hù)機/服務(wù)器模式的應用服務(wù)平臺,具有典型的兩層結構,即客戶(hù)端、服務(wù)器端架構。服務(wù)器端主要負責系統數據資源的管理,確保數據的安全性以及訪(fǎng)問(wèn)并發(fā)性的控制,完成DBMS(數據庫管理系統)的核心功能?？蛻?hù)端主要用于提供用戶(hù)與服務(wù)端的交互及操作界面,完成數據處理、數據標識和用戶(hù)接口功能。C/S架構的基本原則是將應用任務(wù)分解成幾個(gè)子任務(wù),由多臺服務(wù)器分工完成,即采用“功能分布”原則。

2.微信架構

為了確保即時(shí)通訊的穩定性,同時(shí)結合微信的主要應用,采用了短鏈接(HTTP協(xié)議)和長(cháng)鏈接(TCP協(xié)議)相結合的方式,分別應對狀態(tài)協(xié)議和數據傳輸協(xié)議。短鏈接方式采用HTTP協(xié)議,主要用于用戶(hù)登錄信息驗證、獲取好友列表、用戶(hù)頭像、行為日志上報、刷新朋友圈等短期狀態(tài)型的應用;長(cháng)鏈接方式采用TCP協(xié)議,主要用于接收/發(fā)送文本消息、語(yǔ)音、圖片、視頻文件等傳輸過(guò)程需要保持連接狀態(tài)的數據的傳輸。微信是典型的即時(shí)通訊軟件,微信工作架構如圖1所示。

圖1 微信工作架構

移動(dòng)終端和服務(wù)器之間交互協(xié)議的設計是整個(gè)系統的骨架,好的架構的設計可以降低系統的復雜度、具有容災能力,能夠保證整個(gè)系統在意外情況發(fā)生時(shí)仍然能夠提供正常的服務(wù)。

微信在系統中做了特殊設計,采用SYNC協(xié)議,是參考Activesync來(lái)實(shí)現的。SYNC是基于狀態(tài)同步的協(xié)議,將信息的收發(fā)過(guò)程看作狀態(tài)同步的過(guò)程。服務(wù)器每收到最新的消息或更新好友狀態(tài),都會(huì )將客戶(hù)端與服務(wù)端消息進(jìn)行同步。微信平臺將交互模式簡(jiǎn)單化,只需要推送一個(gè)消息到達的通知,終端通過(guò)收到的通知進(jìn)行信息同步。這種簡(jiǎn)化模式有利于微信在各種平臺上的應用,通過(guò)狀態(tài)差值同步數據的方式,獲得最小的數據變更。同時(shí),采用增量的傳輸模式得到最小的數據傳輸量。采用SYNC協(xié)議,可以確保信息是穩定傳送、按序到達的。微信平臺在QQ的基礎上有繼承、有超越。摒棄了QQ的復雜性和龐大的體積,微信更為輕便,在此可以引用一句俗語(yǔ)來(lái)說(shuō)明微信的設計理念:比它炫的沒(méi)它簡(jiǎn)單,比它簡(jiǎn)單的沒(méi)它快,沒(méi)誰(shuí)比他更快,哪怕在GPRS下,微信也能把進(jìn)度條輕易推到底。這也是微信受歡迎、得到廣泛應用的原因之一。微信的系統架構如圖2所示。

圖2 系統架構圖

微信的成功在于它獨特的技術(shù)架構、準確的產(chǎn)品定位、軟件的敏捷性。微信的技術(shù)架構遵循“大系統小做”、“一切可擴展”、“復雜邏輯固定化”的原則,把模塊變得更為清晰,一些功能的實(shí)現在邏輯結構和存儲機構上進(jìn)行分塊設計。注重軟件本身的可擴展性,在微信中所有的協(xié)議都是向前兼容的,后面的協(xié)議只是前面協(xié)議的補充和擴展,通過(guò)不斷在協(xié)議中添加新的邏輯,實(shí)現共享。

二、微信安全隱患

1.“微信紅包”隱患

微信的應用場(chǎng)景不斷豐富,并且關(guān)注度持續不斷飆升。然而,日前國內安全問(wèn)題反饋平臺WooYun(烏云)曝光了一組有關(guān)微信紅包的安全漏洞。烏云稱(chēng),偽裝成為微信紅包的釣魚(yú)鏈接能夠利用該漏洞竊取用戶(hù)手機信息,用戶(hù)微信綁定的銀行卡信息也將面臨泄露風(fēng)險,甚至存在高危漏洞,可以越權搶到其他用戶(hù)的紅包。該言論一出,瞬間引起廣大網(wǎng)民的震驚,著(zhù)實(shí)為互聯(lián)網(wǎng)金融安全捏了一把汗?！皳尲t包”已經(jīng)近乎成為一種潮流,微信紅包以迅雷不及掩耳之勢瘋狂刷屏,越來(lái)越多的人喜歡使用微信紅包,當然這也就使一些別有用心之人打起了紅包的主意,想盡各種方法進(jìn)行微信紅包欺詐。

常見(jiàn)的微信詐騙方式主要有兩種。第一種是此前曾曝光的微信AA紅包詐騙,不法分子利用文字游戲把“AA付款”偽裝成“AA紅包”,利用部分用戶(hù)對微信AA收款功能的不熟悉,誘導轉賬。

第二種則是利用將“紅包大盜”手機木馬偽裝成微信紅包,竊取手機用戶(hù)的銀行卡號等信息。它設計的頁(yè)面跟微信錢(qián)包十分相似,點(diǎn)擊后界面會(huì )提示輸入一個(gè)密碼,輸入后會(huì )出現一個(gè)“恭喜你成功領(lǐng)取紅包”,不知情的人會(huì )真的以為領(lǐng)取到了紅包,其實(shí)在不知不覺(jué)中,用戶(hù)銀行卡的信息就已經(jīng)被不法分子獲取了。有些釣魚(yú)鏈接利用存在的漏洞偽裝成微信紅包進(jìn)行傳播,當用戶(hù)點(diǎn)擊紅包后會(huì )出現“你被騙了”字樣。但這并不是一個(gè)簡(jiǎn)單的玩笑,該鏈接會(huì )將用戶(hù)引到外部網(wǎng)站,可能中木馬。木馬可能盜取用戶(hù)手機資料、偷跑流量吸費,甚至會(huì )盜取用戶(hù)綁定微信支付中銀行卡的信息。

可見(jiàn),微信自身在“微信紅包”安全性方面是存在漏洞的。而這一漏洞主要是由于軟件自身技術(shù)上的漏洞,被不法分子發(fā)現并利用,這種漏洞可以通過(guò)技術(shù)修復,完善軟件。但是想要達到絕對的安全是不現實(shí)的,只有通過(guò)不斷的測試,找出系統程序的Bug以及體系結構設計的漏洞,以提高系統的安全性。

2.“微信支付”隱患

微信支付的強勢推出,不僅給廣大微信用戶(hù)帶來(lái)了支付便利,引發(fā)了新一輪互聯(lián)網(wǎng)金融浪潮,同時(shí),其安全問(wèn)題也一度成為輿論的焦點(diǎn)。

微信支付是集成在微信客戶(hù)端的支付功能,以綁定銀行卡的快捷支付為基礎,向用戶(hù)提供安全、快捷、高效的支付服務(wù)。微信支付的應用場(chǎng)景不斷豐富,目前已實(shí)現刷卡支付、掃碼支付、公眾號支付、APP支付,并提供企業(yè)紅包、代金券等營(yíng)銷(xiāo)新工具,滿(mǎn)足用戶(hù)及商戶(hù)的不同應用場(chǎng)景?！拔⑸獭钡呐d起,接入越來(lái)越多的商家,對微信支付如何確保支付安全提出更多要求。事實(shí)上,微信支付起步時(shí)間并不長(cháng),但是由于是騰訊旗下熱門(mén)軟件QQ的兄弟產(chǎn)品,且有自己獨特的模式,很快就擁有數以?xún)|計的用戶(hù)群,起點(diǎn)很高。所以對于微信支付來(lái)說(shuō),首先需要解決安全問(wèn)題。微信支付是一種新生態(tài)的支付方式,這也就導致微信支付缺乏處理問(wèn)題的經(jīng)驗,在不斷發(fā)展的情況下,將會(huì )出現很多不可預測的問(wèn)題,需要微信支付及時(shí)應對。

微信支付同樣存在巨大的安全隱患。有記者實(shí)操微信支付漏洞。去餐館吃飯,把手機和錢(qián)包放在座位上,而錢(qián)包里有身份證和銀行卡。在不知道銀行卡密碼的情況下,只要3分鐘時(shí)間,就可以把銀行卡里的錢(qián)轉走。通常用戶(hù)使用微信的習慣是記住密碼,短期內登陸無(wú)需驗證。所以,壞人拿到了你的手機,可直接對你的微信賬號進(jìn)行操作。轉賬時(shí),需要輸入設定好的微信支付密碼,而不是銀行卡密碼。由于是犯罪分子用對方手機綁定了微信和銀行卡,支付密碼是犯罪分子設置的,因而能輕松成功轉賬。

事實(shí)上,將手機、身份證、銀行卡同時(shí)存放某處、遺落是很可能發(fā)生的場(chǎng)景,這也就增加了信息泄露甚至錢(qián)財丟失的風(fēng)險。這種擔憂(yōu)是必要的,微信的這一漏洞主要是由于其設計理念:提高支付效率。通過(guò)這種快捷方式,提升用戶(hù)的感知易用性。

微信支付以綁定銀行卡的快捷支付為基礎,采用標準的快捷支付機制:即用戶(hù)購買(mǎi)商品時(shí),不需開(kāi)通網(wǎng)銀,只需提供銀行卡卡號、用戶(hù)名、手機號碼等信息,銀行驗證手機號碼正確性后,第三方支付發(fā)送手機動(dòng)態(tài)口令到用戶(hù)手機號上,用戶(hù)輸入正確的手機動(dòng)態(tài)口令,就可以輕松通過(guò)移動(dòng)端驗證完成支付。手機短信驗證替代銀行密碼,繞開(kāi)卡密碼,在方便用戶(hù)操作的同時(shí),也留下了嚴重的安全隱患,這種便捷性是以犧牲安全性為代價(jià)的。

實(shí)際上,微信的支付功能還不夠成熟,還未構建起安全的支付環(huán)境,沒(méi)有數字認證技術(shù)以及必要的身份認證過(guò)程,只需要將銀行卡綁定到微信賬號,通過(guò)輸入密碼就可實(shí)現支付功能,犯罪分子可以通過(guò)破解微信賬號的方法竊取支付密碼,給用戶(hù)造成財產(chǎn)損失。

支付服務(wù)最基本的底線(xiàn)是安全,網(wǎng)絡(luò )支付最核心的訴求是便捷。網(wǎng)絡(luò )支付沒(méi)有絕對的安全,在微信產(chǎn)品團隊對安全防護機制進(jìn)行升級和完善的同時(shí),用戶(hù)也需要加強個(gè)人信息保密意識?？梢酝ㄟ^(guò)設置手機鎖屏密碼、定期修改微信密碼等方式加強微信支付的安全性。

3.“微信聊天”隱患

(1)退群繳費。在微信使用中有時(shí)會(huì )遇到“霸主”,一旦加入該群,若不按照群主要求交一定的費用,就無(wú)法退出該群。然而不退的話(huà),生活又受到極大的騷擾。采用這種方式進(jìn)行微信盈利主要是利用了IOS系統的一個(gè)安全漏洞,IOS8對于某個(gè)字符段會(huì )出現閃退,群主將自己的名字設置為包含那個(gè)字符段,在群成員退出時(shí)正好要顯示群主的名字,此時(shí)微信會(huì )出現閃退現象,利用了IOS字符拒絕服務(wù)漏洞。通過(guò)這一事件,應提高微信使用警惕,不要輕易加入未知的群,以免對自己造成不必要的傷害。

(2)隱私泄露。在“微信—設置—隱私—朋友圈權限”里有個(gè)“允許陌生人看十張照片”的設置,一些犯罪分子就是利用了這種易被用戶(hù)忽視的顯式漏洞獲取目標圖片或視頻信息。此外,微信具有定位功能,在三個(gè)不同地點(diǎn)搜索,便可以確定目標的具體地理位置,隨著(zhù)定位次數的增多,目標地理位置的準確度也會(huì )越來(lái)越高。犯罪分子據此可以確定目標的位置,再依據用戶(hù)朋友圈中的照片和小視頻,基本可以判斷目標的生活環(huán)境和家庭條件,從而實(shí)施犯罪行為。另外,“搖一搖”是微信社交功能的一大特色。通過(guò)使用該功能,可以將自己的交友范圍擴大到陌生人群。但是在滿(mǎn)足用戶(hù)交友欲望的同時(shí),個(gè)人信息也會(huì )暴露于公眾之中,存在著(zhù)巨大的安全隱患。微信“搖一搖”在社交中沒(méi)有信息控制及篩選功能,使用者的交流具有極大的自由性、開(kāi)放性、匿名性,其操作的便捷性使人們對微信另一端通信者降低了警惕性。不法分子往往利用用戶(hù)的這種心理,獲取用戶(hù)的個(gè)人信息并對信息進(jìn)行處理,進(jìn)而威脅個(gè)人人身及財產(chǎn)安全。

(3)身份欺詐。缺乏身份認證,身份偽裝成了威脅微信用戶(hù)人身、財產(chǎn)安全的設計弊端。微信用戶(hù)的頭像和昵稱(chēng)是可以無(wú)限制更換的,不法分子可能換成用戶(hù)親近友人的頭像或名稱(chēng)進(jìn)行詐騙。在這一身份認證問(wèn)題上,微信無(wú)法像QQ一樣查看用戶(hù)IP或者異常登錄提示等。進(jìn)而就導致了QQ、MSN等被廣泛使用的聊天工具上流傳的“自助充值”詐騙案件時(shí)有發(fā)生。

(4)賬號欺騙。微信中有不少肆意橫行的虛假鏈接,例如,接收到好友發(fā)來(lái)的相冊鏈接,邀請自己去查看,實(shí)質(zhì)上點(diǎn)擊后會(huì )要求登錄QQ,似乎這里也沒(méi)什么不尋常,但是按照指示登錄后,微信賬號就被強制發(fā)送其它欺詐信息給好友。同樣的,出于朋友間的信任和好奇心,又會(huì )有新的一群人受牽連,在操作過(guò)程中,非法分子可以輕易獲取用戶(hù)賬號信息。

三、防范措施

1.實(shí)施實(shí)名注冊認證

不法分子肆意使用微信進(jìn)行犯罪的最根本原因是微信未強制使用實(shí)名注冊認證。不法分子可以使用不同的手機號申請多個(gè)賬戶(hù),案件發(fā)生后,罪犯可以及時(shí)將賬戶(hù)停用或注銷(xiāo),致使無(wú)法進(jìn)行追蹤。所以,應該在加強后臺數據庫數據保護的前提下,實(shí)現用戶(hù)實(shí)名制。讓犯罪分子意識到,即使在虛擬的網(wǎng)絡(luò )環(huán)境中,依然不可以肆意妄為。在采用實(shí)名制的同時(shí),網(wǎng)絡(luò )安全監管部門(mén)也應該監督服務(wù)提供商的網(wǎng)絡(luò )社交工具設計和漏洞修補進(jìn)展情況,過(guò)濾敏感信息,對存在安全隱患的信息及時(shí)進(jìn)行提醒。建立微信用戶(hù)黑名單,防止反復犯罪。

2.加強對微信服務(wù)平臺的安全保障

微信平臺的安全性對于微信使用者來(lái)說(shuō)至關(guān)重要,對于用戶(hù)來(lái)說(shuō),微信平臺扮演著(zhù)提供服務(wù)和保護、監管的職責。據了解,騰訊公司為微信添加了技術(shù)攔截、舉報人工處理、辟謠工具這三大系統。加強信息的監管,一旦發(fā)現存在問(wèn)題的數據,經(jīng)權威機構判定或者舉報后經(jīng)工作人員核實(shí)確定涉及侵權、泄密等信息時(shí),微信會(huì )立即阻斷信息的傳播,情節嚴重者,甚至導致封停賬號。此外,也應加強對個(gè)人隱私信息的保護,存儲用戶(hù)信息的數據庫應使用成熟的加密技術(shù),使數據以密文形式存儲,可以防止數據庫管理員隨意查看、篡改用戶(hù)信息。此外,一旦服務(wù)端數據庫被攻擊導致數據丟失,攻擊者在未獲得密鑰的情況下也無(wú)法獲取原始有效數據。

3.加強對微信用戶(hù)的安全教育

在監管部門(mén)和微信平臺自身加強監管的同時(shí),用戶(hù)在個(gè)人信息保護中更是發(fā)揮著(zhù)不可替代的作用。用戶(hù)需要加強信息安全防范意識,時(shí)刻把信息安全牢記于心。合理填寫(xiě)微信中的個(gè)人資料信息,哪些信息該寫(xiě),哪些信息不該寫(xiě),要做到心中有數,防止隱私信息泄露,被不法分子利用。此外,用戶(hù)也要學(xué)習對好友的甄別判定,不能輕易和陌生人搭訕、交流,不要隨意打開(kāi)陌生人發(fā)來(lái)的文件或鏈接等。此外,微信用戶(hù)應定期修改密碼,以提高微信賬戶(hù)的安全性。(楊薇、楊亞濤)