微信會將密碼暴露給攻擊者

　　安全研究人員分析了騰訊的移動通信工具微信，發現了多個安全漏洞。利用這些漏洞，攻擊者可以獲取用戶的密碼。研究人員兩次聯系了騰訊，但都沒有得到回應。他們所分析的版本不是最新版的微信 5.0，而是 4.5.1。

　　在對抓取的網絡流量進行分析之后，研究人員發現，微信不是使用標準的 HTTP/HTTPS 會話，而是自己實現了一種定制的通信協議，主要是通過 TCP 端口 8080 傳輸信息。他們此前發現 4.3.5 版本存在多個安全漏洞，允許攻擊者攔截流量快速解密消息體，然后訪問用戶發送和接受的信息，但較新的版本已經堵上了漏洞。他們進一步的分析顯示，微信讀取調試設置的方式存在問題，可以配備將日志發送到遠程服務器，日志包含了 MD5 格式的用戶密碼，很容易破解。微信的本地數據庫使用了 SQLite 的加密擴展 SQLCipher 加密，密鑰生成算法將密碼截斷成 7 個 16 進制字符，暴力破解也不難。