最近大家都在玩 QQ 的 0day，其實(shí)現(xiàn)在已經(jīng)是 1day 了，因?yàn)?QQ 官方已經(jīng)出了新的版本，在評(píng)估是否漏洞之前，我們先看看這個(gè)是怎么玩的？

首先準(zhǔn)備兩個(gè)賬號(hào)，A 和 B，然后準(zhǔn)備一個(gè) bat 或者 exe 這種 windows 下可以雙擊執(zhí)行的腳本或程序，比如 1.bat，內(nèi)容為打開計(jì)算機(jī)，內(nèi)容如下：

calc.exe

接下來，用 A 賬戶給 B 發(fā)送 1.bat，B 接收到的效果如圖：

想要執(zhí)行這個(gè) bat 需要點(diǎn)擊下載，然后出現(xiàn)下面的界面：

然后點(diǎn)擊打開，才會(huì)用行該 bat 文件，效果如圖：

正常來說從發(fā)送到運(yùn)行腳本，需要明確的下載打開操作后才可以執(zhí)行，就這對(duì)于利用 QQ 釣魚來說，成功率也還不錯(cuò)，而這個(gè) 0day 的具體操作我們可以對(duì)比一下，看看這個(gè) 0day 算不算，首先在發(fā)送的文件上，右鍵回復(fù)，輸入文字，比如 點(diǎn)擊，然后發(fā)送，目標(biāo)收到的效果如圖：

這個(gè)時(shí)候，如果我們想看這個(gè) 1.bat 是什么，就會(huì)點(diǎn)擊它，只需要單擊一下 1.bat 就會(huì)自動(dòng)下載并運(yùn)行該 bat，效果與上面點(diǎn)擊下載并打開一樣。

這個(gè)問題，對(duì)于釣魚來說成功率增加了一倍，從兩步操作縮減到一步，也會(huì)因?yàn)閷?duì)文件的好奇去嘗試點(diǎn)擊，殊不知，點(diǎn)擊后就會(huì)運(yùn)行攻擊者所構(gòu)造的病毒、木馬程序，從而控制用戶主機(jī)。

那這個(gè)問題算不算漏洞呢？

單擊打開回復(fù)的內(nèi)容應(yīng)該是 QQ 本身的設(shè)計(jì)，用于提高用戶體驗(yàn)，然而這個(gè)功能可以被惡意利用，提升釣魚的成功率，對(duì)于用戶而言，被釣魚即使沒有這個(gè)問題也是會(huì)被欺騙上當(dāng)，而這個(gè)功能可能會(huì)讓用戶更容易被欺騙上當(dāng)，這么一對(duì)比，也可以算作漏洞。

這個(gè)漏洞，影響的 QQ 版本為 9.7.13 以及之前的 windows 版本，在問題爆發(fā)之后，騰訊立即更新到了 9.7.15 版本：

優(yōu)化了部分體驗(yàn)，我們下載個(gè)，看看有什么變化，還是同樣的操作，回復(fù)后的效果如圖：

跟之前的界面還是相同的界面，不同的是，在點(diǎn)擊 1.bat 之后，不是運(yùn)行該腳本，而是打開了腳本所在目錄：

這樣與直接發(fā)送文件的方式就一致了，想要運(yùn)行腳本，就需要先打開文件路徑，然后雙擊 bat 才可以，釣魚的難度又回到了過去。

作為安全從業(yè)者對(duì)于他人發(fā)送的文件，我們可以通過文件后綴來判斷文件是否為可執(zhí)行文件，而對(duì)于大眾來說，不具備這樣的技術(shù)知識(shí)，容易上當(dāng)，如何避免自己被釣魚呢？

• 不要相信任何人發(fā)來的任何文件，包括自己認(rèn)識(shí)的熟人，因?yàn)槭烊说馁~號(hào)可能被盜
• 打開文件之前一定要確認(rèn)發(fā)送者的身份，可以利用視頻、電話等方式來確認(rèn)文件發(fā)送著的身份
• 自己使用的所有工具盡可能升級(jí)最新版，及時(shí)更新軟件和系統(tǒng)，防止歷史問題成為攻擊者幫手

做到以上三點(diǎn)，這個(gè)漏洞對(duì)你就沒有影響，今天的內(nèi)容到此結(jié)束，那么你認(rèn)為這個(gè)問題算是個(gè)漏洞嗎？