qq為什麼會被淘汰?盡管6月26日是一個平平無奇的日子，但對于許多人來說，這或許是個讓他們難忘的一天因為在6月26日這天夜間，QQ發生了大規模盜号事件，部分用戶的QQ号因此被盜，并會在群聊或私聊中發送不良信息，甚至無論對方是誰都照發不誤，也直接讓被盜号的倒黴蛋陷入“社死”狀态，下面我們就來聊聊關于qq為什麼會被淘汰?接下來我們就一起去了解一下吧!

qq為什麼會被淘汰

盡管6月26日是一個平平無奇的日子，但對于許多人來說，這或許是個讓他們難忘的一天。因為在6月26日這天夜間，QQ發生了大規模盜号事件，部分用戶的QQ号因此被盜，并會在群聊或私聊中發送不良信息，甚至無論對方是誰都照發不誤，也直接讓被盜号的倒黴蛋陷入“社死”狀态。

作為國内市場最為知名的社交平台之一，大規模出現盜号自然也引發了如潮般的讨論。而關于QQ号到底是怎麼被盜的，網友們也腦洞大開，并且由于中招的群體中有諸多都是學生，再聯想到此前曾有一款相關應用被曝疑似出現數據庫洩露，所以有猜測是其密碼洩露導緻的“撞庫攻擊”，但這一推測很快也被官方否認。

一天後，騰訊方面也做出了回應，并表示，“QQ安全團隊高度重視并立即展開調查，發現主要原因系用戶掃描過不法分子僞造的遊戲登錄二維碼并授權登錄，該登錄行為被黑産團夥劫持并記錄，随後被不法分子利用發送不良圖片廣告”。也就是說，QQ方面将大規模盜号事件的緣由，指向了部分用戶掃描了被僞造的二維碼、導緻被盜号。

關于這一解釋暫時先放在一邊，先來說說為什麼會發生在用戶本人在線的情況下還能發送信息，甚至出現了一邊被盜号者發送不良信息、一邊是用戶向對方道歉的“奇景”。

由于常規意義上的盜号，通常是在拿到了密碼、并繞過設備鎖後，直接登用戶的QQ，再“洗劫”QQ号中的資産。然而，此次大規模盜号卻“隻”發送了不良信息，因此也使得此次事件與一般意義上的盜号有所不同。

其實，要解釋用戶在線卻隻能眼睜睜看着自己發送不良信息，隻需弄清QQ發送消息的原理即可。事實上，包括QQ在内的APP想要實現各種不同的功能，都是需要調用程序内不同的API接口實現，有的API接口管登錄、有的API負責發消息、有的API則能實現加好友，其中登錄API負責的是判斷“你是你”，然後會下放用于鑒權的cookies，用這個cookies就可以調用QQ這個應用中的其他接口，來實現用戶所需要的功能。

此次事件的情況則是，黑産團隊通過僞造二維碼的方式獲得了屬于用戶的cookies，直接用這個cookies就能調用負責發送消息的API，根本不需要登錄就能實現發送信息的效果。其實此前就曾有過，在網站上通過QQ進行第三方登錄就出現過被跨站腳本攻擊拿到cookies，然後用戶的QQ在手機上登錄卻自動給其他人發消息的爆料。

但不同于跨站腳本攻擊，此次被盜号的QQ用戶實際上是被釣魚攻擊了，用戶原本以為掃描的QQ方面提供的掃碼登錄，但實際上掃的卻是僞造的二維碼。據部分被盜号者反饋集中在網吧登錄WeGame，也正好解釋了僞造這一二維碼的可行性，畢竟這類公共設備一向是盜号事件的主要地點，同時也洗脫了某學習類APP的相關傳言。

然而，QQ方面給出的解釋，卻可能暴露了目前二維碼登錄這一模式存在基礎漏洞，即借助二維碼來欺騙毫無戒心的用戶，這種行為在海外則被稱為“Quishing”。

由于二維碼本身具有唯一性（即可變性），所以也給予了其出色的防僞特性，但這改變不了二維碼本身隻是數據的載體，它所指向的内容卻是用戶不可控的。從本質上來說，二維碼與一串網址其實是一樣的，如果二維碼是指向一個包含木馬或病毒的網址，那麼自然就有了可能導緻中毒或被盜号。

事實上，QR-code（二維碼）技術在被發明後，沒有立即得到大規模應用最為核心的問題，就是安全性存疑。由于二維碼被設計出來就是給計算機而非人類看的，隻有通過相應的解碼程序才能解析出二維碼中包含的信息，這對于非專業人士來說是完全的黑箱。畢竟分辨釣魚網站時尚可直接對比網址，但二維碼又要如何進行比對呢。

從本質上來說，掃碼登錄與賬号密碼其實幾乎是一回事，但得益于多年來的網絡安全教育，大多數用戶在輸入密碼時往往會比較謹慎，但掃碼時則會相對比較随意。畢竟大家肯定面對路邊來源不明的二維碼有警惕，但是對于騰訊等大型互聯網企業提供的二維碼就幾乎不會有太多擔憂了，這歸根結底無疑是互聯網企業用信譽進行背書的結果。

此次QQ大規模盜号事件最為核心的問題，就是用戶相信了“騰訊”給出的二維碼，但用戶也是無辜的，因為并沒能力去分辨這個二維碼到底是出自哪裡。所以未來在用手機掃碼時，建議大家還是多留個心眼，非必要盡量不使用掃碼登錄，相較之下使用動态的手機驗證碼或類似網易将軍令這種多因素認證工具，才更為安全。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!