3.3 即时通信软件存在的安全隐患

用户可以通过即时通信软件进行文字聊天、语音聊天、视频聊天、文件传输、发表日志，甚至还可以进行电子商务活动。即时通信软件给人们的生活带来了极大的便利，与此同时，潜在的安全隐患也逐渐浮出水面。因即时通信软件使用过程中产生的信息泄露导致的犯罪案件时有发生。虽然各大公司对自己产品的安全保障不断改进，但如果用户本身在使用软件的过程中没有安全防范意识，那么，很多可能的隐患就会变成代价沉重的事实。目前，国内最为流行的即时通信软件当属腾讯公司推出的QQ和微信，这两种软件已然成为网络社交必需品。本节将以腾讯QQ和微信为例来介绍即时通信软件可能存在的安全隐患。

3.3.1 用户“主动”泄露的信息

1.手机号

众所周知，腾讯QQ和微信都是使用账号制，用户在使用之初需要先通过官网注册一个账号。以QQ为例，注册账号的方式有两种：直接注册和邮箱账号注册。注册界面如图3-2和图3-3所示。

从图3-2和图3-3可以看出，无论选择哪一种方式进行注册，都需要填写一个手机号码来获取短信验证码才能完成QQ号的注册；而微信的注册亦是如此。

与手机绑定的注册方式因为以下独特的优势得到无数互联网企业的青睐。

1）手机保有量大，手机注册可以涵盖更大范围的人群。

2）便于记忆。如果绑定了手机号，那么当用户无法记起QQ号或者微信号的时候，可以使用手机号登录。

3）便于移动验证。以前用户验证一般使用邮箱验证，随着移动互联网的普及，邮箱验证已经不能满足用户的需求。由于用户的手机可能收不到验证的邮件，但是绝对能够收到短信，因此绑定手机满足了移动验证的需求。

4）便于导入社交链。手机作为人与人之间联系的最主要工具，映射着人与人之间的社交链，所以注册的时候绑定手机号使得即时通信软件可以更方便地导入一个人的社交圈。

但是，任何东西都有它的双面性，绑定手机号进行注册在给人们带来便利的同时也潜藏着极大的安全隐患：

1）账号的不安全会导致手机号码的泄露。手机号码是个人隐私信息的一个重要部分，一旦手机号码被泄露，将会给用户带来诸如骚扰电话、垃圾短信等烦恼。而QQ盗号等事件时有发生，就即时通信软件本身而言，基本没办法保证账户的绝对安全。

2）账号安全取决于手机号码的安全。绑定手机号之后，账号登录和密码更改都是基于手机短信验证码验证的，那么一旦手机丢失，QQ和微信被盗的风险就很高。

3）使用手机号码注册的微信账号，可能被任何陌生人查询到账号基本信息。任何人（即使他不认识你）通过输入猜测的手机号码就可能会查到用户的微信账号，从而获知用户的昵称/真实姓名、所在地、照片等基本信息，其中的风险可想而知。

2.其他个人信息

QQ和微信作为与人交互的一个窗口，申请完QQ或者微信的账号之后，大多数人会做的事情是填写相关个人资料。QQ的资料编辑页面如图3-4所示。从图中可以看到，这些资料包括昵称、性别、生日、血型、职业、家乡、所在地、学校、公司、个人签名等。绝大多数人都会在部分选项或者全部选项中填写真实信息，而这一切就是用户信息泄露的开始。

打开QQ找人页面，不输入任何关键字，QQ会自动定位当前QQ账户所在城市，然后推荐该所在城市的QQ用户。此时，随意点开一个头像会发现虽然还未成为对方的好友，但对方的QQ个人资料，除了手机号码，其他信息会尽数显示出来。

而在微信中也存在同样的问题，随意打开一个微信群，找一个非好友，点开就会显示其所在的地区、个性签名和个人相册。其中，个人相册点开之后就会看到陌生群友的朋友圈封面，有时候可以看到对方或者对方亲人的样子。如果此群友没有关闭“允许陌生人查看十条朋友圈”功能，点开个人相册甚至可以看到陌生群友的十条朋友圈，那么，对方的长相及生活状态就基本了然于心了。

3.朋友圈

截至2018年2月，微信（月活跃）用户数已接近10亿，成为名副其实的国民应用，从通信、社交、阅读、支付等方面渗透到人们的生活中。朋友圈是微信上的一个社交功能，用户可以通过朋友圈发表文字、图片、小视频和链接，好友可以对用户所发表的内容“评论”和“点赞”。这个功能本身与QQ空间类似，但是更短小精悍，用户的接受度很高。自2012年4月19日上线至今，国内刮起了刷朋友圈的新风气。很多人在发表自己的心情和生活状态的时候喜欢配上自己的自拍图或者当下的一些照片，达到图文并茂的效果。如果你的微信好友全部是值得信赖的好朋友，当然就没什么风险。事实上，虽然微信本身的定位是熟人社交，但是，人们往往会因为各种原因添加一些并不相识或者不那么熟的“好友”。那么，把自己、家人以及自己的生活状态对其公开，其中的隐患不言而喻。

近年来，因为朋友圈晒娃晒个人生活而导致的案件时有发生。2016年3月，网易新闻报道，法国父母如果不经孩子的同意，擅自公开他们的私人生活属于违法行为，最高可罚款4.5万欧元及监禁一年，孩子长大了还可以向父母索要隐私赔偿。对此，法国警方解释道，这是因为孩子的照片一旦泄露，除了可能会被盗用，还可能会落入不法分子的手上，对儿童安全形成威胁。

3.3.2 软件“帮忙”泄露的信息

1.好友推荐泄露真实姓名

QQ的找人页面中有个好友推荐功能，这个功能是根据一个很简单的逻辑实现的：如果A与B、C、D都是好友，那么B、C、D的好友也可能是A的好友；并且B、C、D的好友中重叠率越高的人就越可能是A的好友。所以，打开“找人”页面，会看到QQ根据共同好友数从多到少推荐了几页的好友，如图3-5所示。

仔细观察，不难发现QQ给用户推荐的好友所显示的名字大都是用户的好友备注的名字，这其中很多都是真实姓名。

2.推测好友的好友

进入好友的QQ空间首页，单击“更多”，选择“访客”，可以进入好友的访客页面，如图3-6所示。这里记录了某人在某年某月某日某时某刻访问了他的主页，由此就不难推算出对方的好友有哪些了。

QQ空间里还有一个留言板功能，如图3-7所示，从中可以根据留言推算出留言人与空间主人的关系等信息。

微信也存在同样的问题，打开微信朋友圈，查看任意一条朋友圈消息都可以看到对方的信息有几个人回复几个人点赞，如图3-8所示。从一个用户与其他人的互动频率与互动内容不难推测出该用户与好友的关系。当然，微信朋友圈与QQ空间不同的是，微信朋友圈只能看到共同好友的点赞和回复。可是，在网络这个虚拟世界中，用户A和用户B的“共同好友”可能不是A的真实好友也不是B的真实好友。这个时候，其中的安全威胁就暴露出来了。

3.附近的人

微信有一个功能称为“附近的人”，微信会按照与用户的定位距离从近到远的顺序为用户推荐开启了此功能的人。通过这个功能，用户可以查看到附近的陌生人，随意点开一个人的头像都可以查看到对方的昵称、与用户相距多远、所处地区、个性签名和相册，如图3-9所示。只要对方没有关闭“允许陌生人查看十条朋友圈”功能，点开其个人相册，就可以看到对方的十条朋友圈消息，还可能查看到对方的真实身份。如果“附近的人”与用户所处的位置较近，用户就可以直接根据他的照片和位置定位到他。同样地，如果用户开了这个功能，其他人也就可以通过这个方法定位到该用户。

3.3.3 好友“帮忙”泄露的信息

在生活中，为了方便记忆，用户一般都会在添加好友的第一时间给好友添加备注，这个备注往往是好友的真实姓名或者体现关系的称呼。除此之外，在QQ中，用户一般还会为好友进行分组。在这种情况下，好友的信息安全基本就取决于用户自身的账户安全。如果用户QQ账号被盗或账号和密码泄露了，好友的信息安全就无从保障了。

法制网曾报道：留英学生小魏准备在学校附近租房子，查找房源期间在伦敦大学学院的华人QQ群看到出租信息。于是，小魏点击对方留下的网址链接，页面却无法显示，小魏关闭了网页，随后也就没把这件事放在心上。殊不知，他访问的网页是一个“挂马”网页。小魏进入这个网页之后，木马感染了他的计算机并盗走QQ号；通过查看QQ好友备注信息及其聊天记录，了解到各QQ好友与小魏的关系。最后，不法分子冒充小魏，以其好友重病急需用钱为由，骗取小魏父亲28万元人民币。

3.3.4 群泄露的信息

QQ和微信上都有个功能叫作群。显然，QQ群和微信群的本意都是给有共同需求的人提供一个多人聊天的平台，通过这个平台大家可以方便地进行沟通和交流。如果用户所在的QQ群或者微信群里面的成员都是互相认识的人，也就不存在信息泄露一说。而事实上，除了工作群、亲戚朋友群和同学群，用户可能会因为各种原因加入一些陌生人的群，比如亲子群、跑步群、旅游群、团购群等各种主题的群。这些陌生人组成的群往往是无门槛的或者门槛极低的，这就导致群中可能混入了一些有不良企图的人，也就为信息泄露埋下了祸根。那些有着不良企图的人进群后一般会有如下举动。

1）通过查看群中成员的名片、个人信息获取群成员的相关信息。

2）通过查看群成员的聊天记录获取个人信息。

3）发布一些包含恶意代码的消息，引诱群成员入局。