这tm就是个谣言啊!
以下是我在QQ空间发的辟谣原文:
注意:最近传播的所谓onse病毒码,基本可以确定是谣言,请不要信谣传谣。(但是也最好不要随便点击不熟悉的东西,以防万一)
(P1 ,P2为谣言,P3为一个大佬的解析,P4为我做的QQ bot,模仿发送此类json消息。P5为相关json代码)
真就造谣一张嘴,辟谣跑断腿啊
为什么说这是谣言?
来,我们来看下传播比较广泛的一个说法:
“病毒码”
“病毒码”是个什么玩意?此类含糊不清的说法一般有问题。
“获取你手机的IP地址”
获取到的是什么地址?
本机IP地址和内网IP地址获取了没用(别笑啊,还真有向127.0.0.1攻击的人)
外网IP地址?你先问问NAT(Network Address Translation,网络地址转换)的意见罢。
因此,只要是普通家庭宽带的用户,基本不必担心外网IP地址被别人知道后有什么风险。
如果还是不放心,这么说吧:你在访问任何一个网站的时候,对方肯定是知道你的外网IP地址的了,就好像你去寄信,你也要留下你的地址,这样对方才能把信寄回来啊。
“XXS攻击”
这是个啥?我怎么听都没听过?
好吧,退一万步,我们假设他不小心打错字,其实想说的是XSS攻击:
划重点:网页。
这下应该明白了吧,就目前而言,QQ实现个毛的XSS
“编写flash”
计算机领域,FLASH通常有两个含义
一个是Adobe Flash:
对于这个FLASH,你又不是Adobe,你想编写个什么?动画吗?
第二个指的是flash memory:
来,你在QQ里面给我“编写”(姑且认为是修改)这个试试看?
“搜集微信,支付宝密码信息”
咋地,你当马化腾家和马云家那帮开发人员是吃白饭的?
不作评论。
“被打码的均为被暴露的家庭住址等重要信息”
来,我们把聊天记录中提到的这个图放大看:
等下,这不是一个访问HTTPS网站时,TLS的握手过程么
再看看打码这两列:
Source:源
Destination:目标
我:…………………
事实上,这个软件叫Wireshark:
人家一个好好的免费开源网络数据包分析软件,是一个人畜无害的工具,被有心人一说就变成了抓取家庭住址的危险品,这让软件开发人员的脸往哪放?
那…..
我知道你想问什么。这种消息是通过QQ JSON或者QQ XML生成的,例如那个传的沸沸扬扬的“大家好,我是新来的小学生。”:
{
"app":"com.tencent.autoreply",
"desc":"","view":"autoreply",
"ver":"0.0.0.1",
"prompt":"新人入群",
"meta":
{
"metadata":
{
"title":"大家好,我是新来的小学生。",
"buttons":
[{
"slot":1,"action_data":"表面上我是正人君子,其实背地里我是个老色批,妹妹们让我看看批吧",
"name":"永久禁言 踢出本群",
"action":"notify"
}],
"type":"guest",
"token":"LAcV49xqyE57S17B8ZT6FU7odBveNMYJzux288tBD3c="
}
},
"config":
{
"forward":1,
"showSender":1
}
}就像上面那个例子一样,大多数的这类卡片都是这样实现的。比如说,各种qq分享什么的
放在最后
这类消息一般都是整人为主,大家娱乐一下是没有什么问题的。但是也不排除有那么一点浑水摸鱼的人。
总之一句话就是:不要随随便便点击未知来源的链接,要有警惕心理,但是也不要轻信谣言,草木皆兵,弄得人心惶惶
不信谣,不传谣
参考资料:
维基百科:NAT
维基百科:XSS
维基百科:Adobe Flash
维基百科:闪存
SSL/TLS 握手过程详解- 简书
维基百科:Wireshark
