近日,有安全自媒体报道称 Windows QQ 桌面客户端出现安全漏洞,当用户在 QQ 里点击消息链接时,QQ 会自动下载并打开恶意文件。
近日,有安全自媒体报道称 Windows QQ 桌面客户端出现安全漏洞,当用户在 QQ 里点击消息链接时,QQ 会自动下载并打开恶意文件。目前,在官网发布的 Windows 版 QQ 9.7.15 及之后的版本中,该问题已不可复现。另据报道,QQ NT 新版本没有受到该问题的影响。
据知情人士透露,事件起因是某网络安全公司的一则通知,提醒使用 QQ windows 版 9.7.13 及之前版本的客户,在厂商发布补丁前要谨慎点击消息链接。该通知随后被转发并引起了一些安全自媒体的关注及报道,甚至有人称其为「高危漏洞」。
小编此前也测试了这个「漏洞」,发现在 QQ windows 版 9.7.13 及之前版本里,当用户点击消息链接中的文件时,QQ 客户端会自动下载并打开该文件。如果有攻击者利用这个体验,制作恶意软件并构造一个消息链接诱导用户点击,用户将在无感知的情况下被安装木马。
实际上,在不少业内专业人士看来,这算不上「漏洞」,更像是一个体验逻辑上的问题。点击打开回复内容应该是 QQ 本身的设计,旨在提升用户体验,特别是考虑到每天都有大量用户使用 QQ 来发送文件。而在 QQ 里传输的文件,如果是恶意的,发送过程中应会被技术检测出来并被打击。但不可否认,这样的体验在安全场景下存在一定的隐患,可能被不法分子恶意利用,提升钓鱼成功的几率。
但是,无论是否存在这个问题,用户在遭遇钓鱼攻击时都有可能上当受骗,而这个问题可能会导致用户更容易被钓鱼。不过,QQ 在问题被发现的当天下午就发布了更新版,迅速优化了这个体验问题。
对于广大用户而言,也可以提高自己的安全意识。不要随意点击他人发送的各种消息链接,不要随意打开他人发来的文件,打开文件前一定要确认发送者的身份真实性,并且注意及时更新 QQ 版本,以防止不法分子利用历史问题实施攻击。
来源:互联网
