微信加群二维码有没可能被碰撞/穷举 ?

2019-10-24 16:51:35 +08:00
 openbsd

忘了昨天还是前天分享了一个二维码给同事加公司群

因为对群功能了解甚少,没设置该二维码有效期,今天有 人?用该二维码加进公司群恶意刷广告

我和同事都是 iPhone 感觉泄漏聊天记录的概率不大

个人理解二维码应该就是返回一串文字信息,有软件直接读取二维码内容而不是跳转功能么 ?想看下码到底包含什么信息.

如果该串信息是实现加群功能的,内容里应有很多共同之处,有没可能 软件 /机器人 通过穷举不同的部分来实现加群发广告 ?

3437 次点击
所在节点    问与答
15 条回复
scukmh
2019-10-24 17:00:53 +08:00
那你扫一下看看不就知道了。
coderluan
2019-10-24 17:02:45 +08:00
你搜一下二维码然后看下原理的时间远小于你发帖再等别人回复的时间,而且不会有人嘲讽你查资料搞什么个人理解。
lxk11153
2019-10-24 17:04:37 +08:00
理论上可行,实际非可及成本 233 我瞎猜的
passerbytiny
2019-10-24 17:11:02 +08:00
一般激活码也就二三十个字符,那么有没可能 软件 /机器人 通过穷举不同的部分来实现暴力激活呢。
fancy111
2019-10-24 17:19:45 +08:00
当然有可能,理论上所有秘钥类的都能穷举。
二维码就是一串字符,直接解析就行了。 去草料
momocraft
2019-10-24 17:35:45 +08:00
40module 的二维码可以放 20k 以上字节,有多少熵还要看具体协议
openbsd
2019-10-24 17:38:53 +08:00
@coderluan #2
做过二维码,大概知道能呈现什么
但是手上所有的软件都直接跳微信,没显示码里的内容

@passerbytiny #4
如果不存在碰撞的话,那就是二维码被泄漏了? 某些软件偷偷读取识别相册中的图片 ?
tanranran
2019-10-24 18:09:53 +08:00
可能,但是你扫多了。微信绝逼封你号。
dapang1221
2019-10-24 18:20:07 +08:00
https://weixin.qq.com/g/AaxxxigsXxxxUxxC
试了下是这个样子的,(26*2+10)^16,天文数字了,而且应该不是所有群都有自己的码,点了分享之后才会生成,也就是没生成过群二维码的,即使穷举了也进不去
optional
2019-10-24 18:31:57 +08:00
@passerbytiny 『也就二三十个字符』吓死人。
cjpjxjx
2019-10-24 18:39:34 +08:00
@passerbytiny 就算是二十位纯数字,就有 10 的 20 次方种组合了
mnssbe
2019-10-24 18:48:05 +08:00
@optional
@cjpjxjx

你们应该 @楼主
Raymon111111
2019-10-24 18:51:00 +08:00
不如去撞一下比特币的私钥
thulof
2019-12-31 14:32:26 +08:00
遇到了同样的事情,搜索到了这个帖子,双方都是 iPhone,不过可以在群里对二维码进行停用,以及将加群者移除群聊,尚不知道原理是什么,路由器被监听?监听我就搞个这划不来吧。二维码碰撞?原理上似乎也不可能。
openbsd
2020-01-02 08:58:10 +08:00
@thulof #14
我也至今没明白,因为从不邀请别人进群,当时并不知道有 停用二维码 和 移出群聊 的功能
这边路由器不会被监听,所以可能有别的 泄露 渠道吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/612608

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX