QQ,别说我有摄像头!
2004-03-30 09:04:43
本报记者 胡喆 北京报道
作为QQ活跃用户之一的周婕小姐(化名),每周华在QQ上的时间超过10个小时,并且热衷于尝试QQ的各种新功能。自从QQ开通了视频聊天功能后,她马上就买了一个USB摄像头。
QQ带来的骚扰
为了方便使用,周婕的摄像头一直插在机器的USB端口上。然而不久之后,她就发现这种做法让她不堪其扰。她告诉本报记者:“安装了摄像头之后,我发现向我发送聊天请求的人多了好几倍,这种情况在以前没有装摄像头的时候从来没有出现过。而且很多请求的内容更是‘视频做爱’、‘让我们视频一起high’等,让人感到十分厌恶”。
“看来是QQ把我安装了摄像头这个信息发布到了网上并供人查找,可我并没有同意它告诉别人我有摄像头啊!”周婕这样对记者说。
和周婕类似烦恼的《电脑报》读者还有很多,他(她)们也通过各种渠道向本报新闻中心反映了这一情况。
这不算隐私吗
3月22日,记者找到了国家计算机网络应急技术处理协调中心的专家蔡雪飞先生,请他分析QQ这一功能的技术原理。蔡雪飞先生告诉记者:“根据我的经验,要实现这一功能有两个可能途径:第一是QQ可以刺探并监测用户的硬件注册表,从而发现用户是否安装了摄像头;另一个途径是不直接访问硬件注册表,而是通过Windows自带的函数去间接探测用户是否安装了摄像头。”
他还告诉记者:“无论是采用哪种方法,最终的结果就是QQ可以在登录时检测到用户是否安装了摄像头,并将这个信息发送到QQ的服务器上。”
记者同时也联系了腾讯公司,请他们对这一现象给出解释。腾讯公司在3月24日给记者发来了一封比较详细的电子邮件。
腾讯公司的邮件正文:
1. 检测技术是基于DirectX的系统设备枚举对象(System Device Enumerator),而不是通过查找系统注册表的方式。
2. DirectX从Windows 98开始,安装Windows时都会自动安装上DirectX,因此可以说其已经成为操作系统的一部分。
3. 我们程序里利用System Device Enumerator,进行枚举用户视频设备,完全符合微软DirectX里关于枚举系统视频设备的推荐代码流程。
对于以上观点,蔡雪飞先生则认为:“是否侵犯用户的隐私,关键不是技术判断,而是行为判断。无论采用什么技术手段,只要在事实上出现了搜集用户相关信息,并在未经用户的许可之下加以发布的结果,就可以认为是对用户隐私和信息安全的一种侵犯”。
搜集用户信息一直都是互联网最敏感、也是最容易遭人诟病的问题。从较早的PⅢ序列号问题,到微软受到的一系列起诉,再到四处乱窜的间谍软件,都和用户的个人隐私和使用安全有关。而搜集用户的信息更是许多黑客软件的常用功能,如著名的‘冰河’、‘广外女生’等木马软件,都有用户信息搜集功能。虽然技术手段各不相同,但目的和效果是一致的。
用户安装摄像头的信息还会让别有用心的黑客通过一些第三方黑客软件在QQ使用者不知道的情况下打开摄像头,从而将用户的隐私“一览无余”(具体参见2004年第6期《电脑报》G1版的《黑客,商业化中的外遇》一文)。
QQ侵权了
腾讯在回函中辩解称:“检测终端是否具有视频能力是IM软件(即时通讯软件)里标志用户的一种状态或通讯能力的基本功能。”
这种说法显然有失偏颇,以目前同样流行的MSN Messenger和ICQ为例,虽然也集成了视频对话功能,但在客户端主界面中并不会直接显示用户是否安装有摄像头,更没有专门针对摄影头用户的查找功能。显然,在保护用户隐私的意识方面,腾讯和国际企业还有一定的距离。
不过腾讯也告诉本报记者:“可以通过QQ视频设置向导来取消在对方QQ中显示自己终端具有视频通讯的功能。”记者立刻试用了这一功能,发现在“视频设置向导”功能里,并没有任何文字或选项向用户明示可以取消这一功能。经过再次向腾讯咨询,方知在调节功能里必须选择“无摄像头”才能实现关闭。
而且问题的关键在于,QQ在默认状态下已经打开这个功能,并没有任何提示告诉用户如何关闭这一功能,或者在打开这项功能之前对用户进行提示。
对网络法律行为颇有研究的商建刚律师接受了记者的采访。商律师告诉记者:“目前,对网络软件搜集用户信息是否侵权,国际上一些互联网法规比较健全的国家如美国,有两个重要的判断前提:第一,搜集信息的目的,是仅供该公司自己来研究、分析并用于改善服务,还是因为某种目的而提供给他人;第二,搜集用户的信息之前,是否明示或者告知用户,并提供用户选择的机会”。
他进一步分析指出:“QQ具有搜集用户信息的功能,但并没有告知用户并提供选择,而是默认打开了这一功能。这种做法在某种意义让可以认为是对用户隐私权的一种侵犯”。
同样,北京的余文生律师也告诉记者,《消费者权益保护法》的“第八条 消费者享有知悉其购买、使用的商品或者接受的服务的真实情况的权利”和“第九条 消费者享有自主选择商品或者服务的权利。”这也说明了用户在购买或享用服务的时候,应该具有选择权和知情权。
商建刚律师最后还指出:“根据《合同法》的有关条款,如果某种行为没有明示,则可视为侵犯了用户的选择权和知情权”。
编后:
对于那些深受QQ各种视频请求骚扰的用户来说,腾讯已经伤害了他们。作为IT知名企业的腾讯公司应该做出弥补,最起码应该默认关闭这一功能或提供明确、可选择的设置方式。
QQ的病根:天灾还是人祸
2004-01-13 09:14:36
编者按:一串字符居然要了腾讯QQ的“命”!这并不是危言耸听,早在去年就发生过此事,你通过腾讯QQ给你的任何一位好友发送一条特定的代码过去,对方的QQ便会突然退出系统……
后来,通过补丁程序,这个问题得以解决。但紧接着,针对腾讯QQ的恶意代码似乎越来越多,腾讯QQ也只能对应这些代码来更新自己的程序。但总不可能每出一种代码就得更新QQ吧,腾讯难道只有招架之力?腾讯QQ的“病”到底出在什么地方?
病魔现身
QQ病魔的两段字符串都很复杂,代码模式上也大同小异。然而如果你在腾讯QQ上将以上两段字符串发送给任意一个好友,结果可大不一样。前一个字符串会使对方的屏幕上出现非常可爱的“Merry Christmas”字样,而后一个字符串则会使对方的QQ在瞬间当掉,出现“非法操作”,也就是这样的代码便可轻易除掉QQ(在上期E6“查漏补缺”栏目中已介绍)。
为什么治不了
可能会有人说,这是腾讯QQ的一个消息漏洞。但为什么这个漏洞频频曝光而不能根治呢?这个漏洞其实是一个明显的解析器漏洞,但这个漏洞出在腾讯QQ的身上却似乎把自己的大门向任何一个人敞开。目前的腾讯已经无法控制别人的进入……
因为,即时通讯工具之间的消息和控制传递是通过包装后的文本流进行的。其目的是为了传送可以修饰的字体等控制字符。在网络上通过即时通讯工具传递的,除了文本流没有别的东西。引起显示和控制动作的,只是文本流的解析器的解析。
注:文本流是指消息文本和控制指令在网络中的传递形式,是以文本的形式传递的。
然而,腾讯QQ的设计败笔便在此,也就是腾讯QQ的病根。因为它的通讯协议竟然不能够分辨文本流中的消息和控制字。这是什么意思呢?打个有趣的比方,现在从一端发送“Format C”,如果另一端的解析器解析成控制字,它就会把硬盘给格式化了。当然腾讯QQ还不至于此,但通过一段代码便可当掉QQ的原理和这个是完全一样的。当一个用户在消息框中输入文本的时候,这些文本当然应该被作为消息显示,而不是作为控制字来引起控制动作。但是遗憾的是,腾讯QQ并没能够做到这看起来几乎是最基本的要求。
紧急关头
为了让聊天的用户能够用多种表达方式来聊天,用单纯的纯文本形式是很难办到的。这也是为什么腾讯QQ会把用户键入的消息文本视为一种脚本的原因。但目前的问题在于腾讯自始至终都没有将这种脚本编写纳入正常的设计考虑(腾讯给出的官方帮助中只字未提在消息文本中可以编写脚本一事),而一旦在一端可以写脚本控制另一端,事情就变得比较危险。
目前,比较严重的一个问题是缓冲区溢出漏洞,这是黑客们的老把戏了。黑客利用程序代码中没有仔细检查用户输入参数的缺陷,有意地植入大体积数据造成缓冲区溢出,这样,溢出的部分就可以被CPU解释成指令,从而得到意外程序代码的执行。或者就简单导致程序崩溃。在文章开头的B例中,便是如此的攻击消息代码,代码很简单,目的也只是为了让QQ程序崩溃,似乎也只是一个新手所为,如果是一位对机器指令极为熟悉的高手,那么格式化硬盘可就不只是一句玩笑了。
注:缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出从而导致程序崩溃。
真的无药可治?
为了防止这个病根,民间也给QQ打了不少补丁,但几乎都是治标不治本。现在要让这种病永远不会发作,似乎也是不可能的事情,因为腾讯QQ的消息传送构架早已设计,半途来完全改造也不切实际。
要让这个问题有所好转,腾讯有必要对通信协议作一次彻底的改动,保证在发送文本流的时候做合适的捆扎,在接收的时候作出正确的解析,以使那些和控制字相同的消息文本与真正的控制字完全地区分开来。如果能让腾讯QQ能有效地判断并区分消息和控制字,便可减少恶意代码的出现,也许会大大降低被攻击的概率。比如以“\font 字体名 ”表示字体控制,就要有办法表示内容是这段文本的消息,而不会意外地将它解析成为控制指令。这是腾讯很容易办到的,但遇到熟悉机器指令的一样也会骗过QQ。如果让一切控制字由系统生成,而不由用户自己指定也许更加有效。
腾讯QQ是不少网友的必备工具,它也让我们的网上生活更加丰富,我们也希望腾讯公司能够尽快解决这个问题,别让QQ太危险!
(狄立赫列)
黑客,商业化中的外遇
2004-02-26
北方某小镇与广西省省会南宁相隔万里,可在2004年2月9日,一场戏剧性的事件通过互联网将两个城市中的两人联系在了一起。南宁市的张楠突然收到了好友传给她的照片, 不过令张楠震惊的是她自己竟然是这张照片的主角——一个一丝不挂的裸体女孩。在张楠记忆中似乎并没有拍摄过这样的照片,电脑上的这张照片虽然模糊,但绝非出自电脑合成。那一天的晚上她彻夜未眠,网络成为了她心中永远的阴影……
网络背后的黑手
在张楠看到自己的裸照之后,她迅速联系了这位朋友,并询问这张照片的来源。朋友的回答让张楠更感震惊,照片竟然是朋友在某收费色情论坛中下载回来的“最新资料”。据张楠的朋友介绍,网络上有很多这样涉及色情内容的论坛,而在这个论坛中像张楠这样的真实“资料图片”还有很多。同时张楠的朋友告诉记者:“在这个论坛中,你可以选择交年费的方式入会,也可以选择传送真实‘资料图片’或提供网站空间的方式入会。”那么与张楠相关的资料图片又来源于何处?记者决定协助张楠进行调查。
经过多方联系和沟通,记者终于联络到了该论坛的负责人——一个远在大洋彼岸的中国男孩。在答应不为其增添任何“麻烦”并保密相关信息后,该男孩帮我们找到了递送张楠图片的论坛ID与详细资料。通过详细资料中的一个电话号码,我们很容易地就查到了贴送照片的真正幕后黑手——一个距南宁万里之遥的北方小镇的年轻男孩李明,而且他也是张楠的网友。事情至此之后很顺利,在张楠接受了李明真诚的道歉后,他道出了如何得到张楠照片的手段——利用一个特殊定做的木马程序。
李明对记者说,他是2003年初在网络中结识了张楠,之后两个人经常在网络中聊天。在2003年10月份左右,他接触到了一个黑客网站,在这个网站中有明码标价出售的特殊木马程序,而且该网站申明收费的VIP版木马保证不会被任何杀毒软件查杀到。
怀着好奇,李明购买了木马并开始将木马发送给自己的好友,并在背后偷偷窥探别人的隐私,很快地他就开始一发不可收拾:从尝试盗窃QQ号码到下载别人的私人文档;再到最后偷偷打开张楠的摄像头偷拍张楠的照片。仅仅两个月不到的时间,李明就已经游走到了犯罪的边缘。在将偷拍到张楠的照片发表到论坛之后,李明了解到论坛中的大多数人其实都是利用黑客技术盗窃别人的秘密资料,更有甚者专门以盗窃别人资料及私密照片的方式换取利益。而这些网络偷窥者也有一个特征:使用一些无法被杀毒软件查杀的专用木马程序。
在李明偷拍张楠照片的整个过程中,这种商业性质的特殊木马显然起到了至关重要的作用。据李明在电话中介绍:“很多黑客网站现在都在出售可以躲避杀毒软件查杀的收费木马,这类木马通常是经过特殊修改,而且有着丰富的功能,如:在对方不知情的情况下,打开对方的摄像头、下载对方计算机的文件、记录对方的键盘操作、查看对方的计算机操作过程等等。”
为了进一步证实自己所说的话,李明将木马程序发给了记者。记者在一台安装有某知名杀毒软件的计算机中测试,果然杀毒软件没有发现木马,而后李明发来了通过该木马打开摄像头拍下的照片。我们一次次反复更换了多款杀毒软件进行测试,仍然没有发现这个隐藏的木马。
记者在惊叹之余决定开始寻访这些商业木马的制造者。
质变的商业行为
按照李明所说的网址,记者很快找到了这个提供特殊木马的网站。在浏览过程中,记者很容易在网站的显著位置看到了申明:“如果用户付钱,我们可以帮用户编写出无法被任何杀毒软件查杀的木马。”
据记者观察,此站点提供的木马种类很多,从普通最常见的木马到盗取QQ和传奇号码装备的木马;从常见的EXE木马到DLL进程木马,再到Web网页式的木马,几乎无所不含。而且每款木马在网页上都有相关的说明和价格,并注明了经过何种杀毒软件查杀无效的验证。
记者拨通了该网站的电话,并谎称自己是木马购买者,接电话的“技术人员”一听说记者要买木马就立刻兴奋了起来,滔滔不绝地开始向记者介绍他们木马的各种特点,当然重复最多的是肯定不会被杀毒软件查杀到。
当记者问到一些敏感问题时,此人则是躲躲闪闪地绕开记者的提问,但是当记者明确意图说要购买时,他兴奋地介绍一位客户的“发家史”:“一个《传奇》玩家用了我们的木马后,弄到了很多极品的道具。开始的时候他仅仅是想自己用,结果后来越弄越多,于是就开始卖了,听说还小赚了一笔;想看MM也可以,我们这里有一款特制木马,可以在神不知鬼不觉的情况下开启对方的摄像头;当然如果你需要其它功能的特殊木马,我们还可以为你量身定做。”
在此“技术人员”的嘴里,木马已经成为了一种不折不扣的软件商品,可以随意买卖。
当记者问到为什么要开发商业木马程序时,该网站“技术人员”毫不避讳地说:“我本身就是一个写程序代码的手艺人,写程序的目的就是为了赚钱补贴家用,在一个以财富为价值衡量标准的社会里,能多挣到一些钱毕竟不是坏处。”记者也明白钱对于当前处境窘迫的程序员们来说是很重要的,能否赚钱才是他们第一目标。
在交谈了一阵后,该“技术人员”还告诉记者:“我曾经是为一家小公司开发程序的程序员,但是由于种种原因很快就失业了。待业在家的时候,就自己随便编写了一些小的远程控制软件,由于这期间有人愿意付钱让我开发躲过杀毒软件的木马,很快我发现这是一条发财之路,以至于现在以此为生。不过这个行当收入是不错,只是有点儿冒险。”
“你不怕我用你的木马作违法的事情吗?”当听到记者这个问题时,他在电话中哈哈大笑地说:“卖武器的人怕不怕别人拿着武器去杀人呢?更何况买木马的人多数都是为了过过黑客瘾,这不算什么!”他甚至大胆地向记者透露:“很多人购买他们的木马就是为了盗窃别人的文件、图片、甚至信用卡密码等重要资料,然后拿去卖钱。”对于这些“别有用心”的人,大家也是心照不宣的,因为当这些人在使用木马获得利益后,往往会拿出更多的钱买更优秀、更隐秘的木马。此时的黑客更像是黑社会的打手,也正是这样一种扭曲的链条关系将“黑客”拖入了畸形的商业化怪圈中。
在谈到他是否能够被称之为黑客时,他似乎很不屑,并一再向记者强调:“买了软件,黑客人人都可以做”。黑客技术在他的口中似乎更像是一种离经叛道的娱乐方式,网络似乎是一个永远脱离于法律和道德的世界。在黑客道德不再重要且逐渐消失后,新的道德规则形成了,整个黑客世界都在与“流氓”靠近,黑客也渐渐地脱离了曾经坚守的原则,演变成为了一个变质的网络杀手。
编后
早在互联网诞生的初期,大名鼎鼎的BO2000、冰河等一系列木马软件就曾给互联网的安全造成很大的危害。但在网络发展的初期,只有很少的高级程序员对木马的编写有兴趣,木马的种类也少得可怜。然而这样的情况持续了还不到几年的时间,随着网络技术的普及,越来越多的程序员了解了网络编程的技术,木马程序的编写已经不再神秘。如今的互联网,已经被各式各样的木马所包围。
“意想不到的情况总会发生,你最好做好准备。”这是英国前首相撒切尔夫人发明的“撒切尔定律”。
大家最好也牢记这个定律,网络似乎已经变得越来越险恶,我们需要展开一场对黑客行为、黑客道德和法律等相关内容的认真探讨,这种探讨可能对网络的现实状况没有直接改变,但它至少可以帮助网民做好必要的心理准备,否则我们随时可能陷入一场黑客商业化的阴谋危机中……
(注:本文中所涉及的人物名称均为化名) |
![[豁達乱拜]❤](static/image/common/logo.png){kind=logo}
变色卡
显身卡