400秒遠程攻破你的QQ密碼 OICQ存在安全隱患

51期間，被公司要求研究OICQ的通訊協議，在對OICQ認證的分析過程中發現了一個嚴重的安全脆弱性隱患，導致黑客可以簡單的通過網絡數據抓包，破解整個局域網內的OICQ密碼。

分析發現，OICQ在登陸過程中，儘管沒有密碼被直接傳送的過程，整個會話認證過程密碼始終在客户本地和服務端保留。但由於在登陸成功後，服務器返回的一個可以反向解碼的加密字符成為了最薄弱的安全環節。

根據這個問題，5月1日編寫的測試程序在迅馳1.4G，768M的平台上。在最大400秒的時間內，僅僅通過對網絡數據包的抓取，遠程分析出了網絡上另一台計算機任意8位的OICQ數字密碼，具體效果可以查看我們網站上的動畫演示:
 

　和騰訊OICQ傳統安全問題相比，這個脆弱性隱患無需在受害人電腦安裝任何軟件，黑客僅僅需要在自己的電腦上運行程序，既可以直接破解網絡中其他用户的OICQ賬號,竊聽用户聊天內容，造成個人隱私的泄漏。

此問題出現在OICQ2001以上的版本之中，使用這些版本的用户，建議您修改數字密碼，採用更復雜的密碼組合，避免可能的安全隱患。