近日,有安全自媒体报道称Windows QQ 桌面客户端出现安全漏洞,当用户在 QQ里点击消息链接时,QQ 会自动下载并打开恶意文件。目前,在官网发布的Windows 版 QQ 9.7.15及之后的版本中,该问题已不可复现。另据报道,QQ NT 新版本没有受到该问题的影响。
据知情人士透露,事件起因是某网络安全公司的一则通知,提醒使用QQ windows版9.7.13及之前版本的客户,在厂商发布补丁前要谨慎点击消息链接。该通知随后被转发并引起了一些安全自媒体的关注及报道,甚至有人称其为“高危漏洞”。
小编此前也测试了这个“漏洞”,发现在QQ windows版9.7.13及之前版本里,当用户点击消息链接中的文件时,QQ 客户端会自动下载并打开该文件。如果有攻击者利用这个体验,制作恶意软件并构造一个消息链接诱导用户点击,用户将在无感知的情况下被安装木马。
实际上,在不少业内专业人士看来,这算不上“漏洞”,更像是一个体验逻辑上的问题。点击打开回复内容应该是 QQ 本身的设计,旨在提升用户体验,特别是考虑到每天都有大量用户使用QQ来发送文件。而在QQ里传输的文件,如果是恶意的,发送过程中应会被技术检测出来并被打击。但不可否认,这样的体验在安全场景下存在一定的隐患,可能被不法分子恶意利用,提升钓鱼成功的几率。
但是,无论是否存在这个问题,用户在遭遇钓鱼攻击时都有可能上当受骗,而这个问题可能会导致用户更容易被钓鱼。不过,QQ在问题被发现的当天下午就发布了更新版,迅速优化了这个体验问题。
对于广大用户而言,也可以提高自己的安全意识。不要随意点击他人发送的各种消息链接,不要随意打开他人发来的文件,打开文件前一定要确认发送者的身份真实性,并且注意及时更新QQ版本,以防止不法分子利用历史问题实施攻击。
