微信群聊二维码泄露问题调查汇总

事件背景

在群二维码只分享给一个人，而且双方都没有外泄的情况下，依然会发生非法微商通过扫描该二维码进群，引起尴尬的事情发生。更严重的情况是仅仅查看过但是没有分享过群聊二维码，依然显示恶意用户扫描该二维码进群。

相关图片

名词解释

• 狗推：对于在菲律宾从事网络博彩推广工作的人一种带有轻蔑性质的称呼。
• 菠菜引流：通过推广博彩广告，赚取流量费用。

可能性原因分析

• 僵尸好友清理工具：可能导致自己所在的群二维码外泄。毕竟有的这类清理工具需要受害者登陆自己的微信电脑版，然后这时候攻击者就可以批量读取并存储受害者的好友列表甚至群聊具体信息，然后转手打包卖给一些引流、黑产团伙。
• 微信群聊二维码接口问题：可能存在犯罪团伙积攒大量群二维码链接后，尝试暴力破解链接中的重要字段（16位加密字符），然后通过自动化手段大批量地加入群聊，散发广告。

https://weixin.qq.com/g/A_UNb1****np578m

https://weixin.qq.com/g/AxlVW****nfMjSZ3

预防解决方法

用户层面：

• 尽量少点开二维码分享页，因为一旦点开，每个二维码将保存7天，且不能主动停用，这就造成某些人的可乘之机。
• 加群方式设置成邀请入群，而非扫描二维码进群，这样就从根本上阻断了犯罪团伙利用群聊二维码进群的途径。

微信官方层面：

• 针对个人用户，列出该用户分享过的所有二维码，并可以选择随时使其失效，或用户自定义失效时间。
• 优化群二维码链接加密方式，增大攻击者的破解难度。

评论

最近一段时间，全国各地高校陆续开始了网络授课，几乎每门课程都要建立一个课程群，导致这几天微信群聊数量和群聊二维码分享频率大增，同时这也为犯罪团伙进行非法恶意引流提供了“非常舒适”的生存发展空间。

犯罪团伙可能借助对二维码链接重要字段暴力破解等手段，利用某些同学分享的二维码，在其不知情的情况下，进行大批量地自动加入群聊并散发广告，严重影响师生之间的信任以及课程授课。

就我目前了解的情况而言，我所在的几乎每一个课程微信群都出现过这种博彩引流的情况。另外一点，在群聊界面会显示散发引流广告的微信号是扫描谁的二维码进群的，这些二维码的“主人”在群里面就会遇到一些麻烦，引起尴尬。所以我觉得调查和分析该问题的内在原因，并解决这个迫在眉睫的问题是非常有必要的。也期待不久微信官方就能够给我们一个合理的解决方案。