一、微信原理及架構(gòu)

1.微信原理

微信是由騰訊公司推出的一款支持S60v3、S60v5、WindowsPhone、Android以及iPhone平臺(tái)的即時(shí)通訊(IM)軟件。微信用戶可以通過(guò)智能手機(jī)客戶端與好友分享文字、圖片、視頻,并支持分組聊天和語(yǔ)音、視頻對(duì)講、“附近的人”、“搖一搖”等功能。除了這些基本的社交功能,微信還提供了微信紅包、微信支付等移動(dòng)支付功能。

微信是基于客戶機(jī)/服務(wù)器模式的應(yīng)用服務(wù)平臺(tái),具有典型的兩層結(jié)構(gòu),即客戶端、服務(wù)器端架構(gòu)。服務(wù)器端主要負(fù)責(zé)系統(tǒng)數(shù)據(jù)資源的管理,確保數(shù)據(jù)的安全性以及訪問(wèn)并發(fā)性的控制,完成DBMS(數(shù)據(jù)庫(kù)管理系統(tǒng))的核心功能?？蛻舳酥饕糜谔峁┯脩襞c服務(wù)端的交互及操作界面,完成數(shù)據(jù)處理、數(shù)據(jù)標(biāo)識(shí)和用戶接口功能。C/S架構(gòu)的基本原則是將應(yīng)用任務(wù)分解成幾個(gè)子任務(wù),由多臺(tái)服務(wù)器分工完成,即采用“功能分布”原則。

2.微信架構(gòu)

為了確保即時(shí)通訊的穩(wěn)定性,同時(shí)結(jié)合微信的主要應(yīng)用,采用了短鏈接(HTTP協(xié)議)和長(zhǎng)鏈接(TCP協(xié)議)相結(jié)合的方式,分別應(yīng)對(duì)狀態(tài)協(xié)議和數(shù)據(jù)傳輸協(xié)議。短鏈接方式采用HTTP協(xié)議,主要用于用戶登錄信息驗(yàn)證、獲取好友列表、用戶頭像、行為日志上報(bào)、刷新朋友圈等短期狀態(tài)型的應(yīng)用;長(zhǎng)鏈接方式采用TCP協(xié)議,主要用于接收/發(fā)送文本消息、語(yǔ)音、圖片、視頻文件等傳輸過(guò)程需要保持連接狀態(tài)的數(shù)據(jù)的傳輸。微信是典型的即時(shí)通訊軟件,微信工作架構(gòu)如圖1所示。

圖1 微信工作架構(gòu)

移動(dòng)終端和服務(wù)器之間交互協(xié)議的設(shè)計(jì)是整個(gè)系統(tǒng)的骨架,好的架構(gòu)的設(shè)計(jì)可以降低系統(tǒng)的復(fù)雜度、具有容災(zāi)能力,能夠保證整個(gè)系統(tǒng)在意外情況發(fā)生時(shí)仍然能夠提供正常的服務(wù)。

微信在系統(tǒng)中做了特殊設(shè)計(jì),采用SYNC協(xié)議,是參考Activesync來(lái)實(shí)現(xiàn)的。SYNC是基于狀態(tài)同步的協(xié)議,將信息的收發(fā)過(guò)程看作狀態(tài)同步的過(guò)程。服務(wù)器每收到最新的消息或更新好友狀態(tài),都會(huì)將客戶端與服務(wù)端消息進(jìn)行同步。微信平臺(tái)將交互模式簡(jiǎn)單化,只需要推送一個(gè)消息到達(dá)的通知,終端通過(guò)收到的通知進(jìn)行信息同步。這種簡(jiǎn)化模式有利于微信在各種平臺(tái)上的應(yīng)用,通過(guò)狀態(tài)差值同步數(shù)據(jù)的方式,獲得最小的數(shù)據(jù)變更。同時(shí),采用增量的傳輸模式得到最小的數(shù)據(jù)傳輸量。采用SYNC協(xié)議,可以確保信息是穩(wěn)定傳送、按序到達(dá)的。微信平臺(tái)在QQ的基礎(chǔ)上有繼承、有超越。摒棄了QQ的復(fù)雜性和龐大的體積,微信更為輕便,在此可以引用一句俗語(yǔ)來(lái)說(shuō)明微信的設(shè)計(jì)理念:比它炫的沒(méi)它簡(jiǎn)單,比它簡(jiǎn)單的沒(méi)它快,沒(méi)誰(shuí)比他更快,哪怕在GPRS下,微信也能把進(jìn)度條輕易推到底。這也是微信受歡迎、得到廣泛應(yīng)用的原因之一。微信的系統(tǒng)架構(gòu)如圖2所示。

圖2 系統(tǒng)架構(gòu)圖

微信的成功在于它獨(dú)特的技術(shù)架構(gòu)、準(zhǔn)確的產(chǎn)品定位、軟件的敏捷性。微信的技術(shù)架構(gòu)遵循“大系統(tǒng)小做”、“一切可擴(kuò)展”、“復(fù)雜邏輯固定化”的原則,把模塊變得更為清晰,一些功能的實(shí)現(xiàn)在邏輯結(jié)構(gòu)和存儲(chǔ)機(jī)構(gòu)上進(jìn)行分塊設(shè)計(jì)。注重軟件本身的可擴(kuò)展性,在微信中所有的協(xié)議都是向前兼容的,后面的協(xié)議只是前面協(xié)議的補(bǔ)充和擴(kuò)展,通過(guò)不斷在協(xié)議中添加新的邏輯,實(shí)現(xiàn)共享。

二、微信安全隱患

1.“微信紅包”隱患

微信的應(yīng)用場(chǎng)景不斷豐富,并且關(guān)注度持續(xù)不斷飆升。然而,日前國(guó)內(nèi)安全問(wèn)題反饋平臺(tái)WooYun(烏云)曝光了一組有關(guān)微信紅包的安全漏洞。烏云稱(chēng),偽裝成為微信紅包的釣魚(yú)鏈接能夠利用該漏洞竊取用戶手機(jī)信息,用戶微信綁定的銀行卡信息也將面臨泄露風(fēng)險(xiǎn),甚至存在高危漏洞,可以越權(quán)搶到其他用戶的紅包。該言論一出,瞬間引起廣大網(wǎng)民的震驚,著實(shí)為互聯(lián)網(wǎng)金融安全捏了一把汗?！皳尲t包”已經(jīng)近乎成為一種潮流,微信紅包以迅雷不及掩耳之勢(shì)瘋狂刷屏,越來(lái)越多的人喜歡使用微信紅包,當(dāng)然這也就使一些別有用心之人打起了紅包的主意,想盡各種方法進(jìn)行微信紅包欺詐。

常見(jiàn)的微信詐騙方式主要有兩種。第一種是此前曾曝光的微信AA紅包詐騙,不法分子利用文字游戲把“AA付款”偽裝成“AA紅包”,利用部分用戶對(duì)微信AA收款功能的不熟悉,誘導(dǎo)轉(zhuǎn)賬。

第二種則是利用將“紅包大盜”手機(jī)木馬偽裝成微信紅包,竊取手機(jī)用戶的銀行卡號(hào)等信息。它設(shè)計(jì)的頁(yè)面跟微信錢(qián)包十分相似,點(diǎn)擊后界面會(huì)提示輸入一個(gè)密碼,輸入后會(huì)出現(xiàn)一個(gè)“恭喜你成功領(lǐng)取紅包”,不知情的人會(huì)真的以為領(lǐng)取到了紅包,其實(shí)在不知不覺(jué)中,用戶銀行卡的信息就已經(jīng)被不法分子獲取了。有些釣魚(yú)鏈接利用存在的漏洞偽裝成微信紅包進(jìn)行傳播,當(dāng)用戶點(diǎn)擊紅包后會(huì)出現(xiàn)“你被騙了”字樣。但這并不是一個(gè)簡(jiǎn)單的玩笑,該鏈接會(huì)將用戶引到外部網(wǎng)站,可能中木馬。木馬可能盜取用戶手機(jī)資料、偷跑流量吸費(fèi),甚至?xí)I取用戶綁定微信支付中銀行卡的信息。

可見(jiàn),微信自身在“微信紅包”安全性方面是存在漏洞的。而這一漏洞主要是由于軟件自身技術(shù)上的漏洞,被不法分子發(fā)現(xiàn)并利用,這種漏洞可以通過(guò)技術(shù)修復(fù),完善軟件。但是想要達(dá)到絕對(duì)的安全是不現(xiàn)實(shí)的,只有通過(guò)不斷的測(cè)試,找出系統(tǒng)程序的Bug以及體系結(jié)構(gòu)設(shè)計(jì)的漏洞,以提高系統(tǒng)的安全性。

2.“微信支付”隱患

微信支付的強(qiáng)勢(shì)推出,不僅給廣大微信用戶帶來(lái)了支付便利,引發(fā)了新一輪互聯(lián)網(wǎng)金融浪潮,同時(shí),其安全問(wèn)題也一度成為輿論的焦點(diǎn)。

微信支付是集成在微信客戶端的支付功能,以綁定銀行卡的快捷支付為基礎(chǔ),向用戶提供安全、快捷、高效的支付服務(wù)。微信支付的應(yīng)用場(chǎng)景不斷豐富,目前已實(shí)現(xiàn)刷卡支付、掃碼支付、公眾號(hào)支付、APP支付,并提供企業(yè)紅包、代金券等營(yíng)銷(xiāo)新工具,滿足用戶及商戶的不同應(yīng)用場(chǎng)景。“微商”的興起,接入越來(lái)越多的商家,對(duì)微信支付如何確保支付安全提出更多要求。事實(shí)上,微信支付起步時(shí)間并不長(zhǎng),但是由于是騰訊旗下熱門(mén)軟件QQ的兄弟產(chǎn)品,且有自己獨(dú)特的模式,很快就擁有數(shù)以億計(jì)的用戶群,起點(diǎn)很高。所以對(duì)于微信支付來(lái)說(shuō),首先需要解決安全問(wèn)題。微信支付是一種新生態(tài)的支付方式,這也就導(dǎo)致微信支付缺乏處理問(wèn)題的經(jīng)驗(yàn),在不斷發(fā)展的情況下,將會(huì)出現(xiàn)很多不可預(yù)測(cè)的問(wèn)題,需要微信支付及時(shí)應(yīng)對(duì)。

微信支付同樣存在巨大的安全隱患。有記者實(shí)操微信支付漏洞。去餐館吃飯,把手機(jī)和錢(qián)包放在座位上,而錢(qián)包里有身份證和銀行卡。在不知道銀行卡密碼的情況下,只要3分鐘時(shí)間,就可以把銀行卡里的錢(qián)轉(zhuǎn)走。通常用戶使用微信的習(xí)慣是記住密碼,短期內(nèi)登陸無(wú)需驗(yàn)證。所以,壞人拿到了你的手機(jī),可直接對(duì)你的微信賬號(hào)進(jìn)行操作。轉(zhuǎn)賬時(shí),需要輸入設(shè)定好的微信支付密碼,而不是銀行卡密碼。由于是犯罪分子用對(duì)方手機(jī)綁定了微信和銀行卡,支付密碼是犯罪分子設(shè)置的,因而能輕松成功轉(zhuǎn)賬。

事實(shí)上,將手機(jī)、身份證、銀行卡同時(shí)存放某處、遺落是很可能發(fā)生的場(chǎng)景,這也就增加了信息泄露甚至錢(qián)財(cái)丟失的風(fēng)險(xiǎn)。這種擔(dān)憂是必要的,微信的這一漏洞主要是由于其設(shè)計(jì)理念:提高支付效率。通過(guò)這種快捷方式,提升用戶的感知易用性。

微信支付以綁定銀行卡的快捷支付為基礎(chǔ),采用標(biāo)準(zhǔn)的快捷支付機(jī)制:即用戶購(gòu)買(mǎi)商品時(shí),不需開(kāi)通網(wǎng)銀,只需提供銀行卡卡號(hào)、用戶名、手機(jī)號(hào)碼等信息,銀行驗(yàn)證手機(jī)號(hào)碼正確性后,第三方支付發(fā)送手機(jī)動(dòng)態(tài)口令到用戶手機(jī)號(hào)上,用戶輸入正確的手機(jī)動(dòng)態(tài)口令,就可以輕松通過(guò)移動(dòng)端驗(yàn)證完成支付。手機(jī)短信驗(yàn)證替代銀行密碼,繞開(kāi)卡密碼,在方便用戶操作的同時(shí),也留下了嚴(yán)重的安全隱患,這種便捷性是以犧牲安全性為代價(jià)的。

實(shí)際上,微信的支付功能還不夠成熟,還未構(gòu)建起安全的支付環(huán)境,沒(méi)有數(shù)字認(rèn)證技術(shù)以及必要的身份認(rèn)證過(guò)程,只需要將銀行卡綁定到微信賬號(hào),通過(guò)輸入密碼就可實(shí)現(xiàn)支付功能,犯罪分子可以通過(guò)破解微信賬號(hào)的方法竊取支付密碼,給用戶造成財(cái)產(chǎn)損失。

支付服務(wù)最基本的底線是安全,網(wǎng)絡(luò)支付最核心的訴求是便捷。網(wǎng)絡(luò)支付沒(méi)有絕對(duì)的安全,在微信產(chǎn)品團(tuán)隊(duì)對(duì)安全防護(hù)機(jī)制進(jìn)行升級(jí)和完善的同時(shí),用戶也需要加強(qiáng)個(gè)人信息保密意識(shí)。可以通過(guò)設(shè)置手機(jī)鎖屏密碼、定期修改微信密碼等方式加強(qiáng)微信支付的安全性。

3.“微信聊天”隱患

(1)退群繳費(fèi)。在微信使用中有時(shí)會(huì)遇到“霸主”,一旦加入該群,若不按照群主要求交一定的費(fèi)用,就無(wú)法退出該群。然而不退的話,生活又受到極大的騷擾。采用這種方式進(jìn)行微信盈利主要是利用了IOS系統(tǒng)的一個(gè)安全漏洞,IOS8對(duì)于某個(gè)字符段會(huì)出現(xiàn)閃退,群主將自己的名字設(shè)置為包含那個(gè)字符段,在群成員退出時(shí)正好要顯示群主的名字,此時(shí)微信會(huì)出現(xiàn)閃退現(xiàn)象,利用了IOS字符拒絕服務(wù)漏洞。通過(guò)這一事件,應(yīng)提高微信使用警惕,不要輕易加入未知的群,以免對(duì)自己造成不必要的傷害。

(2)隱私泄露。在“微信—設(shè)置—隱私—朋友圈權(quán)限”里有個(gè)“允許陌生人看十張照片”的設(shè)置,一些犯罪分子就是利用了這種易被用戶忽視的顯式漏洞獲取目標(biāo)圖片或視頻信息。此外,微信具有定位功能,在三個(gè)不同地點(diǎn)搜索,便可以確定目標(biāo)的具體地理位置,隨著定位次數(shù)的增多,目標(biāo)地理位置的準(zhǔn)確度也會(huì)越來(lái)越高。犯罪分子據(jù)此可以確定目標(biāo)的位置,再依據(jù)用戶朋友圈中的照片和小視頻,基本可以判斷目標(biāo)的生活環(huán)境和家庭條件,從而實(shí)施犯罪行為。另外,“搖一搖”是微信社交功能的一大特色。通過(guò)使用該功能,可以將自己的交友范圍擴(kuò)大到陌生人群。但是在滿足用戶交友欲望的同時(shí),個(gè)人信息也會(huì)暴露于公眾之中,存在著巨大的安全隱患。微信“搖一搖”在社交中沒(méi)有信息控制及篩選功能,使用者的交流具有極大的自由性、開(kāi)放性、匿名性,其操作的便捷性使人們對(duì)微信另一端通信者降低了警惕性。不法分子往往利用用戶的這種心理,獲取用戶的個(gè)人信息并對(duì)信息進(jìn)行處理,進(jìn)而威脅個(gè)人人身及財(cái)產(chǎn)安全。

(3)身份欺詐。缺乏身份認(rèn)證,身份偽裝成了威脅微信用戶人身、財(cái)產(chǎn)安全的設(shè)計(jì)弊端。微信用戶的頭像和昵稱(chēng)是可以無(wú)限制更換的,不法分子可能換成用戶親近友人的頭像或名稱(chēng)進(jìn)行詐騙。在這一身份認(rèn)證問(wèn)題上,微信無(wú)法像QQ一樣查看用戶IP或者異常登錄提示等。進(jìn)而就導(dǎo)致了QQ、MSN等被廣泛使用的聊天工具上流傳的“自助充值”詐騙案件時(shí)有發(fā)生。

(4)賬號(hào)欺騙。微信中有不少肆意橫行的虛假鏈接,例如,接收到好友發(fā)來(lái)的相冊(cè)鏈接,邀請(qǐng)自己去查看,實(shí)質(zhì)上點(diǎn)擊后會(huì)要求登錄QQ,似乎這里也沒(méi)什么不尋常,但是按照指示登錄后,微信賬號(hào)就被強(qiáng)制發(fā)送其它欺詐信息給好友。同樣的,出于朋友間的信任和好奇心,又會(huì)有新的一群人受牽連,在操作過(guò)程中,非法分子可以輕易獲取用戶賬號(hào)信息。

三、防范措施

1.實(shí)施實(shí)名注冊(cè)認(rèn)證

不法分子肆意使用微信進(jìn)行犯罪的最根本原因是微信未強(qiáng)制使用實(shí)名注冊(cè)認(rèn)證。不法分子可以使用不同的手機(jī)號(hào)申請(qǐng)多個(gè)賬戶,案件發(fā)生后,罪犯可以及時(shí)將賬戶停用或注銷(xiāo),致使無(wú)法進(jìn)行追蹤。所以,應(yīng)該在加強(qiáng)后臺(tái)數(shù)據(jù)庫(kù)數(shù)據(jù)保護(hù)的前提下,實(shí)現(xiàn)用戶實(shí)名制。讓犯罪分子意識(shí)到,即使在虛擬的網(wǎng)絡(luò)環(huán)境中,依然不可以肆意妄為。在采用實(shí)名制的同時(shí),網(wǎng)絡(luò)安全監(jiān)管部門(mén)也應(yīng)該監(jiān)督服務(wù)提供商的網(wǎng)絡(luò)社交工具設(shè)計(jì)和漏洞修補(bǔ)進(jìn)展情況,過(guò)濾敏感信息,對(duì)存在安全隱患的信息及時(shí)進(jìn)行提醒。建立微信用戶黑名單,防止反復(fù)犯罪。

2.加強(qiáng)對(duì)微信服務(wù)平臺(tái)的安全保障

微信平臺(tái)的安全性對(duì)于微信使用者來(lái)說(shuō)至關(guān)重要,對(duì)于用戶來(lái)說(shuō),微信平臺(tái)扮演著提供服務(wù)和保護(hù)、監(jiān)管的職責(zé)。據(jù)了解,騰訊公司為微信添加了技術(shù)攔截、舉報(bào)人工處理、辟謠工具這三大系統(tǒng)。加強(qiáng)信息的監(jiān)管,一旦發(fā)現(xiàn)存在問(wèn)題的數(shù)據(jù),經(jīng)權(quán)威機(jī)構(gòu)判定或者舉報(bào)后經(jīng)工作人員核實(shí)確定涉及侵權(quán)、泄密等信息時(shí),微信會(huì)立即阻斷信息的傳播,情節(jié)嚴(yán)重者,甚至導(dǎo)致封停賬號(hào)。此外,也應(yīng)加強(qiáng)對(duì)個(gè)人隱私信息的保護(hù),存儲(chǔ)用戶信息的數(shù)據(jù)庫(kù)應(yīng)使用成熟的加密技術(shù),使數(shù)據(jù)以密文形式存儲(chǔ),可以防止數(shù)據(jù)庫(kù)管理員隨意查看、篡改用戶信息。此外,一旦服務(wù)端數(shù)據(jù)庫(kù)被攻擊導(dǎo)致數(shù)據(jù)丟失,攻擊者在未獲得密鑰的情況下也無(wú)法獲取原始有效數(shù)據(jù)。

3.加強(qiáng)對(duì)微信用戶的安全教育

在監(jiān)管部門(mén)和微信平臺(tái)自身加強(qiáng)監(jiān)管的同時(shí),用戶在個(gè)人信息保護(hù)中更是發(fā)揮著不可替代的作用。用戶需要加強(qiáng)信息安全防范意識(shí),時(shí)刻把信息安全牢記于心。合理填寫(xiě)微信中的個(gè)人資料信息,哪些信息該寫(xiě),哪些信息不該寫(xiě),要做到心中有數(shù),防止隱私信息泄露,被不法分子利用。此外,用戶也要學(xué)習(xí)對(duì)好友的甄別判定,不能輕易和陌生人搭訕、交流,不要隨意打開(kāi)陌生人發(fā)來(lái)的文件或鏈接等。此外,微信用戶應(yīng)定期修改密碼,以提高微信賬戶的安全性。(楊薇、楊亞濤)