这是一个创建于 3860 天前的主题,其中的信息可能已经有所发展或是发生改变。
朋友在国外,遇上了很奇怪的事情
他发现有人可以在不登出他本人微信的前提下随意上他微信,别人给他发消息的时候他自己收得到,窃听的人也收的到,他能回的时候窃听的人也能回。
窃听的人很没水准,对他和他的朋友进行了人身威胁
保险起见他**换掉了所有的电子设备**,包括手机、mac,在系统干净的情况下,微信号也重新注册了一个,但是发现对方还是能用相同的方式进行窃听
请问大家这种情况有什么可能的窃听手段
他发现有人可以在不登出他本人微信的前提下随意上他微信,别人给他发消息的时候他自己收得到,窃听的人也收的到,他能回的时候窃听的人也能回。
窃听的人很没水准,对他和他的朋友进行了人身威胁
保险起见他**换掉了所有的电子设备**,包括手机、mac,在系统干净的情况下,微信号也重新注册了一个,但是发现对方还是能用相同的方式进行窃听
请问大家这种情况有什么可能的窃听手段
第 1 条附言 · 2014-04-29 11:28:53 +08:00
补充一点细节,因为怕有人会通过搜索引擎搜到这篇,所以隐去地点,只能笼统说国外
设备:
手机 iphone 5s,换后依旧5s,未越狱,简单检查过,发现只装了主流程序
电脑 之前是mac pro,电脑有被入侵过的痕迹,之前java 0day+safari的漏洞进去的,是比较常见的exploit;电脑整台换掉以后是品牌机,copy进的数据只有书签+文档类文件,连电影文件都没有导入,运行win8.1+chrome,chrome下无不干净插件,windows下非常明确的没有装360
以上数码设备均在国外不同实体店购入,感觉上应该设备本身不会有太大问题
路由器是我现在唯一怀疑有可能出问题的设备,O2签约来的路由,尚未进行进一步调查,暂时知道的信息是用的那台路由没有修改掉默认的用户名密码,但是我的疑问是如果入侵了路由真的有办法做到在不登出他人微信的前提下窃听数据吗?
设备:
手机 iphone 5s,换后依旧5s,未越狱,简单检查过,发现只装了主流程序
电脑 之前是mac pro,电脑有被入侵过的痕迹,之前java 0day+safari的漏洞进去的,是比较常见的exploit;电脑整台换掉以后是品牌机,copy进的数据只有书签+文档类文件,连电影文件都没有导入,运行win8.1+chrome,chrome下无不干净插件,windows下非常明确的没有装360
以上数码设备均在国外不同实体店购入,感觉上应该设备本身不会有太大问题
路由器是我现在唯一怀疑有可能出问题的设备,O2签约来的路由,尚未进行进一步调查,暂时知道的信息是用的那台路由没有修改掉默认的用户名密码,但是我的疑问是如果入侵了路由真的有办法做到在不登出他人微信的前提下窃听数据吗?
第 2 条附言 · 2014-04-29 11:56:51 +08:00
再补充一下,事情应该是可以排除杜撰的可能性;整个事情发生的时候也有超过一个以上的人目击整个事情,比如有这样一个场景:
A、B、外加7个朋友大家一起在A家里聚会,手机堆起来叠叠乐,说好谁先动手机谁罚酒,这时候B手机响了,发现是A发过来的消息,但是此时A的手机在桌上,A和C、D一起在厨房做菜。C、D非常确定A没有在厨房里用过手机,也没离开过厨房;然后A出来,解锁手机,随着B和假A互相发聊天记录,发现聊天记录自己在滚动,所有人都看到的
我最最不能理解的是,按照微信的机制,不是应该一方上线了另一方就必须下线吗?这样的劫持是怎么做到的
我想过是蹭网或者有人CSRF(因为路由的用户名、密码是默认的),但是如何做到让微信在不同设备上同时在线?
A、B、外加7个朋友大家一起在A家里聚会,手机堆起来叠叠乐,说好谁先动手机谁罚酒,这时候B手机响了,发现是A发过来的消息,但是此时A的手机在桌上,A和C、D一起在厨房做菜。C、D非常确定A没有在厨房里用过手机,也没离开过厨房;然后A出来,解锁手机,随着B和假A互相发聊天记录,发现聊天记录自己在滚动,所有人都看到的
我最最不能理解的是,按照微信的机制,不是应该一方上线了另一方就必须下线吗?这样的劫持是怎么做到的
我想过是蹭网或者有人CSRF(因为路由的用户名、密码是默认的),但是如何做到让微信在不同设备上同时在线?
第 3 条附言 · 2014-04-29 12:24:06 +08:00
1、 已知范围内,只有微信和QQ会有明显被监听的情况,刚开始以为QQ被盗号了,但是最后发现微信解除QQ绑定以后依旧有问题;其他的,因为用的比较少,好像暂时没有发现明显被入侵的痕迹
2、 应该不会,家里正当生意人,和敏感事件在我所知范围内没有直接关联。但是如果衡量入侵值得不值得,我个人觉得完全值得,因为对方是属于土豪类型的人,而且接下来极有可能接手家业,消息也很灵通,估测如果监控他的一些消息在经济收益上还是很划得来的,但是如果我自己是心智正常的黑客就完全没必要让他知道我的存在,更没有必要出面言语恐吓
3、 朋友之中,GF有一样的情况,其他人并没有
因为我自己没有一个头绪,所以不知道哪些线索会比较重要;而且我不是当事人,也只是知道个大概,只能大家问一点我回答一点,抱歉了
2、 应该不会,家里正当生意人,和敏感事件在我所知范围内没有直接关联。但是如果衡量入侵值得不值得,我个人觉得完全值得,因为对方是属于土豪类型的人,而且接下来极有可能接手家业,消息也很灵通,估测如果监控他的一些消息在经济收益上还是很划得来的,但是如果我自己是心智正常的黑客就完全没必要让他知道我的存在,更没有必要出面言语恐吓
3、 朋友之中,GF有一样的情况,其他人并没有
因为我自己没有一个头绪,所以不知道哪些线索会比较重要;而且我不是当事人,也只是知道个大概,只能大家问一点我回答一点,抱歉了
第 4 条附言 · 2014-05-09 18:27:09 +08:00
问题成功解决,APT的根源是路由器被入侵,入侵以后对方通过路由器进行劫持,所以无论怎么换书吗设备都没用,在此提醒大家注意路由器安全,具体细节稍后跟进,并非闹鬼,也并非朋友精神状况问题
感谢超级热心的@lyric的鼎力相助,好人一生平安
感谢超级热心的@lyric的鼎力相助,好人一生平安
 |
1
dragonszy 2014-04-29 10:34:02 +08:00
是用 wifi 吗?直接报警啊。
|
 |
2
winnie2012 2014-04-29 10:35:57 +08:00
好恐怖,去知乎问问看
|
 |
3
Mr2 2014-04-29 10:41:52 +08:00
Mac 和网页版登陆手机版能看到在使用
而手机版只能一个设备使用 无法理解 |
 |
4
wzzyj8 OP @dragonszy 是用过WiFi没错,我考虑过路由器被渗透的可能性,暂时没进行进一步排查。但是蹊跷的事情是他们换过房子,中途路由器肯定有换过,但是依旧被窃听。
报警完全没用,简单笔录以后线索就断了,完全无从查起 |
 |
5
BinbinWang 2014-04-29 10:45:10 +08:00 via iPhone
密码改掉还不行么
|
|
6
wzzyj8 OP @BinbinWang 不行,检查过微信授权/API一系列常见消息接口,均无异常
|
 |
7
chairuosen 2014-04-29 10:49:42 +08:00
控制变量,一步一步排除问题
|
 |
8
manoon 2014-04-29 11:00:45 +08:00
关注中。估计最近有大的漏洞会爆出?
|
 |
9
yangzh 2014-04-29 11:00:56 +08:00
微信内部人员。。。?黑了微信服务器。。。?
|
 |
10
ScotGu 2014-04-29 11:06:15 +08:00  1
用单一设备注册微信号, 逐步排查设备问题,
如果方便,给路由器 加流控,监测异常连接。 |
 |
11
summic 2014-04-29 11:06:59 +08:00
根据我的一般经验,越诡异的bug越低级
|
 |
12
dong3580 2014-04-29 11:08:00 +08:00
换机换卡换网换号,还能立即被窃听?
也太可怕了。 |
 |
13
l0wkey 2014-04-29 11:08:56 +08:00
描述太笼统。为什么觉得像科幻小说...
「在国外」「对他和他的朋友进行了人身威胁」 这其中是否涉及敏感话题和敏感人物? |
 |
14
killpanda 2014-04-29 11:09:05 +08:00
用的是什么手机?
|
 |
15
wingoo 2014-04-29 11:09:42 +08:00 1
应该是上游设备出了问题把
话说要不要考虑police内部?我记得之前看到过实时qq内容的截图 微信应该也有作对外的接口,想想有没惹到什么zf什么人 |
|
16
l0wkey 2014-04-29 11:10:15 +08:00
另外,「别人给他发消息的时候他自己收得到,窃听的人也收的到,他能回的时候窃听的人也能回。」是实时的么?「窃听者」所回复的信息会不会出现在你朋友的微信聊天界面上?
|
 |
17
YY 2014-04-29 11:10:24 +08:00
“微信号也重新注册了一个,但是发现对方还是能用相同的方式进行窃听” 这里很诡异,有问题。 不然他想窃听谁就就窃听谁了,这就是一个很严重的漏洞。 你朋友的朋友手机有问题没?
|
|
18
wzzyj8 OP @killpanda iphone 5s,安全起见没越狱,apple store购入的;电脑是mac pro,后来换的是windows 8.1的某款,但是应该也是干净的
|
 |
19
xatest 2014-04-29 11:22:29 +08:00
LZ描述确实太笼统。为什么不找微信官方客服?为什么不查一下账号登录记录?(在 http://aq.qq.com )
|
 |
20
zdf 2014-04-29 11:25:34 +08:00 1
应该是在你房子的网络进口那里装了监听的东西吧,这样的话你只替换你自己房内路由解决不了问题吧?你试试看不在房屋内这个范围下会不会还被监听?
|
|
21
dong3580 2014-04-29 11:27:32 +08:00 1
@wzzyj8
手机串号,电脑机器码均被记录了,然后。。。你还用它接入网络,不是照样被。。。,换号不破解之类的有用?买手机付款用了信用卡?或者面交用了真实地址,异或真实姓名?查一下人家不就可以依然找到你了么。重新注册时候又绑定了这个手机,或者用了类似可以交叉查询到可能的名称,另外有摄像头的地方也不安全,。 电视剧《尼基塔》很明显的告诉了大家怎么防范,建议普及一下。 |
|
22
wzzyj8 OP @l0wkey 是不是实时的没问过,但是听他的描述很像对方登陆着Web端微信;我想过MITM attack的可能性,也是我认为唯一合理的解释,但是要实现一整套微信的MITM attack应该并不容易;我没有验证过,但是猜测微信来往消息应该都是加密的吧。
|
 |
24
lentrody 2014-04-29 11:36:06 +08:00
|
 |
25
Ever 2014-04-29 11:40:41 +08:00 2
换号换设备换住址都能复现, 我建议从技术以外思考这个问题, 比如精神方面。
我朋友的母亲也是类似症状, 我小学时她很正常, 后来经常说有人在旁边盯着她, 恐吓她, 给她下药, 到现在快20年, 严重时会把她儿子和老公幻视成其他人, 其他时候生活一如常人。 |
 |
26
xdeng 2014-04-29 11:43:57 +08:00
微信号也重新注册了一个,但是发现对方还是能用相同的方式进行窃听 。 你确定?
我知道 有人 能一台手机 装两个 微信 然后 两个微信都能收到信息 你的微信 会不会被备份了用在别的设备了? |
|
28
dong3580 2014-04-29 11:45:45 +08:00
|
 |
29
Jason_C 2014-04-29 11:47:18 +08:00
很纳闷,你朋友又不是很牛叉的人物,干嘛人家要监听呢?真的无聊到蛋疼,要是FBI来监听你,你还不荣幸呀~
|
|
30
wzzyj8 OP @Ever 这个应该可以排除,因为这个事情报警过,当地警方也确认这个事情存在,但是因为服务器在中国之类的原因很难继续查下去。再说,国外很多时候懒得来管你这些事情;整个事情发生的时候也有超过一个以上的人目击整个事情,比如有这样一个场景:
A、B、外加7个朋友大家一起在A家里聚会,手机堆起来叠叠乐,说好谁先动手机谁罚酒,这时候B手机响了,发现是A发过来的消息,但是此时A的手机在桌上,A和C、D一起在厨房做菜。C、D非常确定A没有在厨房里用过手机,也没离开过厨房;然后A出来,解锁手机,随着B和假A互相发聊天记录,发现聊天记录自己在滚动,所有人都看到的 我最最不能理解的是,按照微信的机制,不是应该一方上线了另一方就必须下线吗?这样的劫持是怎么做到的 我想过是蹭网或者有人CSRF(因为路由的用户名、密码是默认的),但是如何做到让微信在不同设备上同时在线? |
|
31
lentrody 2014-04-29 11:54:49 +08:00
@dong3580 强密码的确难破,但嗅探连接未广播 AP 的客户端 MAC 并伪装也不是难事儿,爆破 WPA2 主要是通过捕捉握手包然后本地计算 HASH ,验证失败自锁也没啥用。
所以其他都是虚的,一个强密码才真正顶事儿。 |
 |
32
too 2014-04-29 12:00:25 +08:00
玩 Hack 还是老外牛逼!
|
|
34
wzzyj8 OP @dong3580 说句公道话,抓包就可以,mac filter很容易过的,经常看到有ap不加密只用mac filter,这纯粹是在作死,不要对mac filter这种东西抱太高期望啊。。
教程见 |
|
35
l0wkey 2014-04-29 12:10:29 +08:00
线索都还是很飘渺,无从判断。
1、是仅仅微信这样子还是其他 IM 也都会被监听?比如 WhatsApp、FB Messager? 2、是否与「当局所认为的敏感人士或事件有联系」? 3、仅仅是 A 被这样子监听还是去过他家的人中,其他人也出现过类似情况? LZ 真的想让大家帮忙搞清楚事情,就需要坦诚的说明情况,而不是写科幻似的让观众一点点拼凑. |
 |
36
hpowen 2014-04-29 12:16:33 +08:00
lz这点信息。。真心像讲故事。。
其实可以想办法从别的途径把第三方钓出来。。 |
 |
37
TF 2014-04-29 12:16:56 +08:00
微信漏洞/網絡漏洞
|
|
38
wzzyj8 OP @l0wkey
1、 已知范围内,只有微信和QQ会有明显被监听的情况,刚开始以为QQ被盗号了,但是最后发现微信解除QQ绑定以后依旧有问题;其他的,因为用的比较少,好像暂时没有发现明显被入侵的痕迹 2、 应该不会,家里正当生意人,和敏感事件在我所知范围内没有直接关联。但是如果衡量入侵值得不值得,我个人觉得完全值得,因为对方是属于土豪类型的人,而且接下来极有可能接手家业,消息也很灵通,估测如果监控他的一些消息在经济收益上还是很划得来的,但是如果我自己是心智正常的黑客就完全没必要让他知道我的存在,更没有必要出面言语恐吓 3、 朋友之中,GF有一样的情况,其他人并没有 因为我自己没有一个头绪,所以不知道哪些线索会比较重要;而且我不是当事人,也只是知道个大概,只能大家问一点我回答一点,抱歉了 |
 |
39
clker 2014-04-29 12:24:03 +08:00
靠,我刚才手机也提示在别的地方登录了微信。莫非真的有漏洞?
|
 |
40
yxqcyl 2014-04-29 12:45:00 +08:00
LZ道听途说
|
 |
41
min 2014-04-29 12:52:34 +08:00 1
建议lz飞过去,第一手资料比较有用,旁人根据转述乱猜无益,也浪费时间
|
 |
42
arkilis 2014-04-29 12:55:39 +08:00
key has been stolen
|
 |
43
wulin 2014-04-29 13:24:40 +08:00 1
网页版微信?不排除有未被公布的漏洞,去wooyun问
|
 |
44
Just1n 2014-04-29 13:33:48 +08:00 1
早上的时候我微信也莫名其妙无缘无故的要重新登陆一下,没有设备异常和其他地点登陆提示。
|
|
45
chairuosen 2014-04-29 13:47:06 +08:00 1
我觉得是本地网络问题,你手机上VPN再试试
|
 |
46
cougar 2014-04-29 14:14:02 +08:00
真玄乎,感觉像双重人格上演
|
 |
47
majunbo 2014-04-29 14:37:00 +08:00
真被你吓着了,没有碰到过这种问题,不过话说回来,怎么可能,维信PC版本的要扫描才能登陆。
|
 |
50
konakona 2014-04-29 15:25:43 +08:00
好高端的样子!!!
|
 |
51
Lucius 2014-04-29 16:20:38 +08:00
双重人格吧。其实是另外一个人格在操作你现在的人格不知情而已!
|
 |
52
chainkhoo 2014-04-29 16:34:42 +08:00 1
一般来说可能是招惹了哪个网监的?
这些东西都是有专门的GOV接口的 |
 |
53
barbery 2014-04-29 17:08:27 +08:00 1
怎么看起来那么像之前看的wifi会话挟持。。。 http://zhuanlan.zhihu.com/evilcos/19704671
|
 |
55
towser 2014-04-29 17:34:26 +08:00
单步调试,先换路由器看看还会不会窃听,逐步排除其他可能产生问题的变量。
|
 |
56
andyhu 2014-04-29 17:43:54 +08:00
换个android试试,或者换个apple数据线,然后换掉路由和密码,用WPA2加密
|
 |
57
huoshanhui 2014-04-29 19:17:17 +08:00
换个国内的朋友登录试试?
|
|
62
wzzyj8 OP |
 |
65
Ricepig 2014-04-30 01:19:48 +08:00
换了手机卡吗?
手机卡被破解并复制也是可能有这个现象的。。。 |
 |
66
Jake 2014-04-30 01:29:25 +08:00
微信中,主设备是单点登录的。所有的副设备(mac、网页)登录都会在主设备(手机)上有banna提示,且点击banna后可以选择退出副设备的登录。楼主找lyric同学帮忙解决是靠谱的。关注这个事情。有需要我也可以帮忙跟进。
|
 |
67
garipan 2014-04-30 02:09:17 +08:00
确定这不是鬼故事吗………………我小时候看过一个鬼故事说有一个鬼魂活在网络里的……可以自由穿梭 还可以和你聊QQ……
|
|
68
garipan 2014-04-30 02:20:23 +08:00
@winnie2012 知乎99.99%都是一瓶子不满半瓶子晃荡的人……还不如直接联系微信内部的人……
|
 |
69
anheiyouxia 2014-04-30 06:29:58 +08:00
@wzzyj8 这个事你没亲自看过,只是听过他说,有很大可能含有被夸大的成分,类似的行为周围并不少见。
|
|
70
wzzyj8 OP @Ricepig 手机卡没换,唯一没换的就是手机卡了。这种可能性我自己考虑过,但是排除了,我自己很多年以前在企鹅卡流行的时候玩过SIM卡复制一类的设备,一张SIM卡哪怕被复制了也只能有最后通信过的设备会在线收信,并不会说像鬼魅一样同时在线。而且国外新的SIM卡理论上不好破解
谢谢@Jake我已经把相关账号和联系人联系方式托付给了热心的@lyric @anheiyouxia被夸大的部分应该很小,因为这是一件已经报警但尚未得到解决的事情,很明确的说有的细节应该是得到警方证实的,当然我也考虑了这种可能性,所以让Lyric直接问他本人具体事发细节 @garipan小时候就有和QQ相关的鬼故事。。好年轻。。知乎相关的arguement强烈同意!发知乎可能还是发豆瓣有用,至少土豪换下来的设备可以卖个高价 |
 |
71
shw1395 2014-04-30 07:06:43 +08:00
是不是家里被安装了监控摄像头?去外面草地或者广场、公园再改掉密码登陆一次试试呢?
|
 |
72
surfmanjoe 2014-04-30 08:41:11 +08:00
@Ever +1
|
 |
73
XDA 2014-04-30 09:03:51 +08:00
有个词叫“家贼难防”,另外:技术层面,微信or扣扣,是检测每次IP登录的吧?有时候我从家wifi到公司wifi就会提示别处登录,让重输密码,根据LZ描述像是肥皂剧情节啊,家族暗斗!巨额家产继承!
|
 |
74
jimbray 2014-04-30 09:13:23 +08:00
好恐怖的感觉.......
|
 |
75
lazygunner 2014-04-30 09:30:54 +08:00 1
应该是家里网络出口或者更高层的网络设备被串监控设备了,而且设备的功能不只是被动监测,还有主动攻击。国内这方面都勉强可用了,更何况国外。
|
|
77
summic 2014-05-04 10:49:13 +08:00
微信的设备孖号检测机制保证了绝不可能两个设备同时登陆一个帐号
lz不如找中医看看吧 |
 |
78
cloud107202 2014-05-04 20:53:10 +08:00 1
|
|
79
wzzyj8 OP 事情成功解决,谢谢大家的鼎力相助!我稍后空了会update具体细节
|
 |
80
manhere 2014-05-09 18:32:15 +08:00
web版本微信可以和app同时在线
|
Select Language