分析發現,OICQ在登陸過程中,儘管沒有密碼被直接傳送的過程,整個會話認證過程密碼始終在客戶本地和服務端保留。但由於在登陸成功後,服務器返回的一個可以反向解碼的加密字符成為了最薄弱的安全環節。
根據這個問題,5月1日編寫的測試程序在迅馳1.4G,768M的平台上。在最大400秒的時間內,僅僅通過對網絡數據包的抓取,遠程分析出了網絡上另一台計算機任意8位的OICQ數字密碼
和騰訊OICQ傳統安全問題相比,這個脆弱性隱患無需在受害人電腦安裝任何軟件,黑客僅僅需要在自己的電腦上運行程序,既可以直接破解網絡中其他用戶的OICQ賬號,竊聽用戶聊天內容,造成個人隱私的洩漏。
此問題出現在OICQ2001以上的版本之中,使用這些版本的用戶,建議您修改數字密碼,採用更複雜的密碼組合,避免可能的安全隱患。