极客发掘微信密码漏洞 与马化腾亲密“对话”
2012-10-24 10:09 微信 马化腾

【极客发掘微信密码漏洞 与马化腾亲密“对话”】21岁的“极客”张瑞冬发现了微信密码漏洞,通过破解马化腾、柳岩等名人身边人的微信账号,和名人们来了一次点对点的“对话”。“这个漏洞就是利用已知的绑定微信的电话号码,绕过验证码进行密码修改。”该漏洞已修复。(现代快报)

 

  

 

   来源:现代快报

  在互联网时代,世界果然就像是平的,普通人与名人的距离似乎只有一个智能手机那么远。前不久,南大学生刘靖康通过电话采访360董事长周鸿祎的视频拨号声,分析出了周总的手机号码,还被周鸿祎亲自承认“有才”,李开复则对其伸出橄榄枝。

  最近,又有网友发现了微信密码漏洞,通过破解腾讯CEO马化腾、主持人柳岩等名人身边人的微信账号,和名人们来了一次点对点的“对话”。这位“极客”将破解过程公布出来后,引来许多网友围观。不过,这位以寻找漏洞为乐的“极客”提醒大家说,“这个微信漏洞早在9月份就已经被修复,发布给公众看也只是起个提醒作用”。昨天,现代快报记者连线采访了这位“极客”,同时也请教了南大技术帝刘靖康,让两位为大伙支招如何防漏洞、保护个人信息。

  现代快报记者 曾偲

  极客与马化腾亲密“对话”

  补漏者意外发现微信密码漏洞

  这份名为《微信任意用户密码修改漏洞》的技术帖最早出现在国内知名的漏洞报告平台“乌云网”,这里集中许多“查漏补缺”的高手,这次微信用户密码修改的极客“only_guest”便是其中一员,而他的真名叫张瑞冬。

  在黑客圈子里,一般分三种类型:白帽子、灰帽子和黑帽子。“白帽子”不会恶意利用计算机系统或网络系统中的安全漏洞,而是通过提示和公布等方式,促进漏洞的修补;“黑帽子”指研究攻击技术并将之用来惹是生非的黑客;“灰帽子”则介于两者之间。

  在乌云网上,大家也都以“白帽子”称呼各位补漏者,大家都是义务寻找漏洞并提醒厂家进行修复,并没有报酬可言。对于“白帽子”们而言,每天寻找互联网中存在的安全漏洞是他们的乐趣和使命, 张瑞冬便是在一次平常的查漏中,发现了微信的这个漏洞。

  9月份就破解漏洞,目前已修复

  面对突然在微博上盛传的“破解马化腾微信账号”的消息,张瑞冬说:“其实媒体报道的标题有点错误,我并没有破解柳岩、马化腾的微信账号,只是通过他们的身边人,找到他们的微信账号,能以好友身份进行对话、查看资料等等。”

  张瑞冬破解此漏洞是在9月4日,通过几个试验证实之后,张瑞冬通过乌云网立刻向腾讯微信方面反映,厂家确认其漏洞存在,现已修复。同时,在9月4日12点多,“@腾讯应急安全响应中心”腾讯官方微博对此漏洞进行转发确认,承认张瑞冬所做的补漏工作。

  而这个早已被修复好的漏洞最近才突然在网络上“火起来”,而且顺带着柳岩、马化腾等名人身份,许多网友都前来围观“逆天的技术宅”。张瑞冬也自嘲地说,“都这么久了,怎么突然又火起来了。”

  与马化腾来了次亲密“对话”

  说起这个漏洞,张瑞冬坦言其实挺简单也挺正常,当时破解前后不到1个小时时间。“简单点说,这个漏洞就是利用已知的绑定微信的电话号码,绕过验证码进行密码修改,当时就想试一试,证实自己的想法。”至于为什么选择了与柳岩、马化腾相关的微信账号,张瑞冬嘿嘿一笑,“总觉得是名人才有点难度,但我没选他们俩本人账号,也是考虑不要太过。”

  发现这个漏洞后,张瑞冬选择修改了两个人微信账号密码,一个是明星柳岩的经纪人,一个是腾讯的某位高管,并通过这两位的微信账号获取了柳岩和马化腾的微信号或QQ号,至于这两人的电话号码,张瑞冬是从网络公开信息获知的。“我当初还好奇尝试着加柳岩的QQ号,不过她是拒绝添加好友的;然后我用这位高管的号码发了一个信息给马化腾,当时是凌晨4点半左右,他不在线并没有回复我。”

  9月初,正是周鸿祎手机号码被破译的新闻热潮期,张瑞冬也利用音频分析破解出周鸿祎的手机号,尝试进行微信密码修改。“结果发现周鸿祎没有注册微信。”张瑞冬说道,结果这一结论也成了许多网友吐槽调侃的对象:“你怎么不促成周鸿祎和马化腾成为微信好友”?

  张瑞冬,自学成才的90后

  虽然被众多网友称为“技术宅”“大牛”,但极客张瑞冬却是个实实在在的90后,并且属于自学成才型。

  张瑞冬现在正在成都从事网络安全方面的工作,虽然还只有21岁,但已经正式工作4年。“我在读中学时就已经尝试做网络这方面了,14岁就开始在一个黑客网站做管理员,培训新手。中学毕业后就出来工作了,虽然这方面很多都是经验所得,但我也越来越感觉基础知识的重要性,所以也在努力学习。”

  至于为什么乐意查找漏洞,张瑞冬坦言感觉像是做“白帽子”的使命感,因为他们查找出漏洞及时通知厂商,总比“黑帽子”们用来做不合法的事情要好。“当然也会很有成就感,觉得自己把漏洞找出来,能让互联网产品更完善。”从2010年8月23日注册至今,张瑞冬在乌云网上已经提交了62个漏洞,涉及银行、视频网站、酒店业务、社交网站等各个方面,至于有人提出的“保护隐私”等问题,张瑞冬说,作为“白帽子”的职业道德,对于一般漏洞他都是拿自己的账户作为试验对象,涉及公共信息的,一旦证实漏洞存在,他会立即向厂家反映,不会继续阅读所获取的信息。“这一次就是好玩,进行漏洞测试后我立刻退出了账号。”张瑞冬有些不好意思地说道,“我们需要自觉遵守《黑客自律公约》。”

  我喜欢人家叫我“黑客”

  现代快报:查漏洞这件事是完全无偿的,你为什么愿意花费这么多工夫去做?

  张瑞冬:大家的兴趣爱好都是这个,不愿意被互联网的种种限制所束缚,希望可以凭借自己的技术手段突破这些限制。但我们本身又是互联网秩序的维护者,所以我们通过这样的一种方式,既满足了自己对自由的向往,也维护了互联网应有的秩序。

  现代快报:证明别人有漏洞存在,是会带给你很大的满足感或成就感吗?

  张瑞冬:当然会有成就感。我们喜欢在我们的圈子里证明自己的技术水平,发现漏洞是最直接的证明手段。如果你自己喜欢的网站向你发送了一封感谢信,感谢你对他们做出的贡献,你也会很有成就感的。

  现代快报:很多人都把你们称为“黑客”或是“极客”,你觉得什么样的称呼才是最符合自己身份的?

  张瑞冬:黑客这个称呼本就是代表对技术狂热者的称呼,不仅仅局限于互联网,但后来被一些人的行为所丑化了。极客是个后来出现的词汇,代表对网络技术狂热,但我更喜欢别人称呼我为黑客或者白帽子。

  现代快报:对于网络安全和自己的经历,你还有什么想对向往成为“极客”“黑客”的年轻人说的吗?

  张瑞冬:不要去做任何触犯法律的事情,不要去盲目的学习什么所谓的黑客技术,只懂得操作,却不能理解其原理,是没有任何意义的。

  提醒

  如何防账号被盗?

  “技术帝”教你几招

  密码的设置不要选择自己的手机号、生日、姓名拼音等易识别的字母或数字

  密码设为9位数以上,尤其是注册邮箱密码

  如果有好几个社交媒体账号,强烈建议大家不要共用一个账号密码

  定期更换密码

  警惕一些钓鱼网站

  你都记住了吗?

  在互联网时代,微信、微博、QQ等社交媒体虽然极大地拉近了人与人之间的距离,但层出不穷的盗号事件也给用户带来了物质损失和密码丢失。所以这则“微信密码被破解”的新闻一出,许多人都对自己的社交媒体账号表示担忧,但也有业内人士跳出来安抚道,“一个软件用户数量达到一个级别必定会有黑客去找漏洞,没有任何一个软件一出来就是完美的,都需要修修补补才能臻于完善,不过为了避免被盗号,倒是可以学会密码设定技巧。”

  “一般把密码设置在9位数以上,可以避免暴力破解。”对于现在频繁出现的账号被盗现象,已经小有名气的南大技术帝刘靖康推荐了一些好方法,“密码的设置不要选择自己的手机号、生日、姓名拼音等易识别的字母或数字,同时要警惕一些钓鱼网站。”除此之外,刘靖康还特别提醒,现在每个人都有好几个社交媒体账号,强烈建议大家不要共用一个账号密码。“特别是注册邮箱的密码难度要大一点,尽量不要与其他密码相同,因为一旦破解邮箱,许多注册信息都会被获取。”

  “这样的问题普通人没有办法去避免,是应用厂商存在的问题,所以我们只能被动地接受。但普通网民一定要做到分级,定期更换我们的密码,在不同的网站使用不同的密码,对涉及到钱的尤其要使用不同的密码,而且要定期更换。”极客张瑞冬建议。