2010年10月4日星期一

WebQQ的一个隐私漏洞(Update:所有之前修复的漏洞再次出现)

很早之前就发现在WebQQ中可以查看到我自己在桌面客户端中设置为只对自己可见的信息,但以为这个只是对自己有效,没去特别留意其他人的情况。但今天登陆WebQQ 2.0时发现"好友管理"这个应用中多了一个"资料"Tab,里面我在桌面客户端设置为仅自己可见的资料默认显示的隐私权限居然是"对所有人可见"。

Friends Manager

于是乎我在好友管理节目一看发现除了没有填写生日的好友,所有好友的生日都是可见的。此外因此有了另外一个发现,如果生日用汉字填写系统会视为农历生日,在详细资料显示时会自动转换为公历生日。

Birthday

另外即便是在资料中显示权限为"只有自己可见"的联系资料,在WebQQ 2.0中依然可以查看到。

WebQQ 1.7.0330和WebQQ 2.0的详细资料显示对比:

details in webqq

details in webqq2

可见同样的问题在WebQQ 1.7.0330中也是存在的,只是不会泄漏生日信息。而在WebQQ 2.0中则连生日信息都泄漏了......在这个漏洞修补完成之前,强烈建议各位去修改个人资料,避免隐私的外泄。

BTW,WebQQ 2.0还有另外一个问题,登录时勾选了"隐身登录"但登录后的状态却是"在线"。

2010.10.16 Update:security@tencent.com看到这篇文章和我联系后,目前如果在WebQQ 2.0的"好友管理"应用程序的"资料"Tab里设置隐私权限,则详细资料页面显示的隐私信息就会按照隐私权限里的设置来显示了。但在桌面客户端设置的隐私权限依然无效,还是可以在Web QQ的详细资料查看里看到设置为只对自己可见的资料信息。

2010.10.20 Update:目前似乎桌面客户端和WebQQ的隐私权限设置已经同步了,以上截图中出现的详细信息里泄漏电话、手机和邮箱的情况已经不会再出现,但WebQQ 2.0依然可以看到所有填写了生日信息的好友的生日信息。

2010.11.16 Update:所有之前修复的漏洞又再次出现了,详情见正文。

1 条评论:

匿名 说...

貌似你很久没更新了,我的QQ信息大多是假的,比如生日是1911年10月10日。