V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
wzzyj8
V2EX  ›  问与答

遇到了匪夷所思的入侵情况

  wzzyj8 · 2014-04-29 10:30:34 +08:00 via Android · 9486 次点击
这是一个创建于 3897 天前的主题,其中的信息可能已经有所发展或是发生改变。
朋友在国外,遇上了很奇怪的事情
他发现有人可以在不登出他本人微信的前提下随意上他微信,别人给他发消息的时候他自己收得到,窃听的人也收的到,他能回的时候窃听的人也能回。
窃听的人很没水准,对他和他的朋友进行了人身威胁

保险起见他**换掉了所有的电子设备**,包括手机、mac,在系统干净的情况下,微信号也重新注册了一个,但是发现对方还是能用相同的方式进行窃听

请问大家这种情况有什么可能的窃听手段
第 1 条附言  ·  2014-04-29 11:28:53 +08:00
补充一点细节,因为怕有人会通过搜索引擎搜到这篇,所以隐去地点,只能笼统说国外
设备:
手机 iphone 5s,换后依旧5s,未越狱,简单检查过,发现只装了主流程序
电脑 之前是mac pro,电脑有被入侵过的痕迹,之前java 0day+safari的漏洞进去的,是比较常见的exploit;电脑整台换掉以后是品牌机,copy进的数据只有书签+文档类文件,连电影文件都没有导入,运行win8.1+chrome,chrome下无不干净插件,windows下非常明确的没有装360
以上数码设备均在国外不同实体店购入,感觉上应该设备本身不会有太大问题

路由器是我现在唯一怀疑有可能出问题的设备,O2签约来的路由,尚未进行进一步调查,暂时知道的信息是用的那台路由没有修改掉默认的用户名密码,但是我的疑问是如果入侵了路由真的有办法做到在不登出他人微信的前提下窃听数据吗?
第 2 条附言  ·  2014-04-29 11:56:51 +08:00
再补充一下,事情应该是可以排除杜撰的可能性;整个事情发生的时候也有超过一个以上的人目击整个事情,比如有这样一个场景:

A、B、外加7个朋友大家一起在A家里聚会,手机堆起来叠叠乐,说好谁先动手机谁罚酒,这时候B手机响了,发现是A发过来的消息,但是此时A的手机在桌上,A和C、D一起在厨房做菜。C、D非常确定A没有在厨房里用过手机,也没离开过厨房;然后A出来,解锁手机,随着B和假A互相发聊天记录,发现聊天记录自己在滚动,所有人都看到的

我最最不能理解的是,按照微信的机制,不是应该一方上线了另一方就必须下线吗?这样的劫持是怎么做到的

我想过是蹭网或者有人CSRF(因为路由的用户名、密码是默认的),但是如何做到让微信在不同设备上同时在线?
第 3 条附言  ·  2014-04-29 12:24:06 +08:00
1、 已知范围内,只有微信和QQ会有明显被监听的情况,刚开始以为QQ被盗号了,但是最后发现微信解除QQ绑定以后依旧有问题;其他的,因为用的比较少,好像暂时没有发现明显被入侵的痕迹
2、 应该不会,家里正当生意人,和敏感事件在我所知范围内没有直接关联。但是如果衡量入侵值得不值得,我个人觉得完全值得,因为对方是属于土豪类型的人,而且接下来极有可能接手家业,消息也很灵通,估测如果监控他的一些消息在经济收益上还是很划得来的,但是如果我自己是心智正常的黑客就完全没必要让他知道我的存在,更没有必要出面言语恐吓
3、 朋友之中,GF有一样的情况,其他人并没有

因为我自己没有一个头绪,所以不知道哪些线索会比较重要;而且我不是当事人,也只是知道个大概,只能大家问一点我回答一点,抱歉了
第 4 条附言  ·  2014-05-09 18:27:09 +08:00
问题成功解决,APT的根源是路由器被入侵,入侵以后对方通过路由器进行劫持,所以无论怎么换书吗设备都没用,在此提醒大家注意路由器安全,具体细节稍后跟进,并非闹鬼,也并非朋友精神状况问题
感谢超级热心的@lyric的鼎力相助,好人一生平安
80 条回复    2014-05-09 18:32:15 +08:00
dragonszy
    1
dragonszy  
   2014-04-29 10:34:02 +08:00
是用 wifi 吗?直接报警啊。
winnie2012
    2
winnie2012  
   2014-04-29 10:35:57 +08:00
好恐怖,去知乎问问看
Mr2
    3
Mr2  
   2014-04-29 10:41:52 +08:00
Mac 和网页版登陆手机版能看到在使用

而手机版只能一个设备使用

无法理解
wzzyj8
    4
wzzyj8  
OP
   2014-04-29 10:44:19 +08:00 via Android
@dragonszy 是用过WiFi没错,我考虑过路由器被渗透的可能性,暂时没进行进一步排查。但是蹊跷的事情是他们换过房子,中途路由器肯定有换过,但是依旧被窃听。
报警完全没用,简单笔录以后线索就断了,完全无从查起
BinbinWang
    5
BinbinWang  
   2014-04-29 10:45:10 +08:00 via iPhone
密码改掉还不行么
wzzyj8
    6
wzzyj8  
OP
   2014-04-29 10:48:22 +08:00
@BinbinWang 不行,检查过微信授权/API一系列常见消息接口,均无异常
chairuosen
    7
chairuosen  
   2014-04-29 10:49:42 +08:00
控制变量,一步一步排除问题
manoon
    8
manoon  
   2014-04-29 11:00:45 +08:00
关注中。估计最近有大的漏洞会爆出?
yangzh
    9
yangzh  
   2014-04-29 11:00:56 +08:00
微信内部人员。。。?黑了微信服务器。。。?
ScotGu
    10
ScotGu  
   2014-04-29 11:06:15 +08:00   ❤️ 1
用单一设备注册微信号, 逐步排查设备问题,
如果方便,给路由器 加流控,监测异常连接。
summic
    11
summic  
   2014-04-29 11:06:59 +08:00
根据我的一般经验,越诡异的bug越低级
dong3580
    12
dong3580  
   2014-04-29 11:08:00 +08:00
换机换卡换网换号,还能立即被窃听?
也太可怕了。
l0wkey
    13
l0wkey  
   2014-04-29 11:08:56 +08:00
描述太笼统。为什么觉得像科幻小说...
「在国外」「对他和他的朋友进行了人身威胁」
这其中是否涉及敏感话题和敏感人物?
killpanda
    14
killpanda  
   2014-04-29 11:09:05 +08:00
用的是什么手机?
wingoo
    15
wingoo  
   2014-04-29 11:09:42 +08:00   ❤️ 1
应该是上游设备出了问题把
话说要不要考虑police内部?我记得之前看到过实时qq内容的截图
微信应该也有作对外的接口,想想有没惹到什么zf什么人
l0wkey
    16
l0wkey  
   2014-04-29 11:10:15 +08:00
另外,「别人给他发消息的时候他自己收得到,窃听的人也收的到,他能回的时候窃听的人也能回。」是实时的么?「窃听者」所回复的信息会不会出现在你朋友的微信聊天界面上?
YY
    17
YY  
   2014-04-29 11:10:24 +08:00
“微信号也重新注册了一个,但是发现对方还是能用相同的方式进行窃听” 这里很诡异,有问题。 不然他想窃听谁就就窃听谁了,这就是一个很严重的漏洞。 你朋友的朋友手机有问题没?
wzzyj8
    18
wzzyj8  
OP
   2014-04-29 11:19:11 +08:00
@killpanda iphone 5s,安全起见没越狱,apple store购入的;电脑是mac pro,后来换的是windows 8.1的某款,但是应该也是干净的
xatest
    19
xatest  
   2014-04-29 11:22:29 +08:00
LZ描述确实太笼统。为什么不找微信官方客服?为什么不查一下账号登录记录?(在 http://aq.qq.com
zdf
    20
zdf  
   2014-04-29 11:25:34 +08:00   ❤️ 1
应该是在你房子的网络进口那里装了监听的东西吧,这样的话你只替换你自己房内路由解决不了问题吧?你试试看不在房屋内这个范围下会不会还被监听?
dong3580
    21
dong3580  
   2014-04-29 11:27:32 +08:00   ❤️ 1
@wzzyj8
手机串号,电脑机器码均被记录了,然后。。。你还用它接入网络,不是照样被。。。,换号不破解之类的有用?买手机付款用了信用卡?或者面交用了真实地址,异或真实姓名?查一下人家不就可以依然找到你了么。重新注册时候又绑定了这个手机,或者用了类似可以交叉查询到可能的名称,另外有摄像头的地方也不安全,。
电视剧《尼基塔》很明显的告诉了大家怎么防范,建议普及一下。
wzzyj8
    22
wzzyj8  
OP
   2014-04-29 11:33:06 +08:00
@l0wkey 是不是实时的没问过,但是听他的描述很像对方登陆着Web端微信;我想过MITM attack的可能性,也是我认为唯一合理的解释,但是要实现一整套微信的MITM attack应该并不容易;我没有验证过,但是猜测微信来往消息应该都是加密的吧。
wzzyj8
    23
wzzyj8  
OP
   2014-04-29 11:33:45 +08:00
@dong3580 手机号没有换,只换了设备
lentrody
    24
lentrody  
   2014-04-29 11:36:06 +08:00
Ever
    25
Ever  
   2014-04-29 11:40:41 +08:00   ❤️ 2
换号换设备换住址都能复现, 我建议从技术以外思考这个问题, 比如精神方面。

我朋友的母亲也是类似症状, 我小学时她很正常, 后来经常说有人在旁边盯着她, 恐吓她, 给她下药, 到现在快20年, 严重时会把她儿子和老公幻视成其他人, 其他时候生活一如常人。
xdeng
    26
xdeng  
   2014-04-29 11:43:57 +08:00
微信号也重新注册了一个,但是发现对方还是能用相同的方式进行窃听 。 你确定?

我知道 有人 能一台手机 装两个 微信 然后 两个微信都能收到信息

你的微信 会不会被备份了用在别的设备了?
ligyxy
    27
ligyxy  
   2014-04-29 11:44:32 +08:00
@Ever 最靠谱之回复
dong3580
    28
dong3580  
   2014-04-29 11:45:45 +08:00
@wzzyj8
手机号都不换。。。即使路由没被入侵,手机号被人拿下入侵也可以吧,另外克隆手机卡呢.建议去换个卡,不知道国外是不是GSM网络,3G,4G的都试试。
@lentrody
这个文纯属娱乐文,我WPA2加密的,12位数字字母大小写特殊符号,而且每隔3个月改一次,3次验证失败自动拒绝20分钟,最主要 的我连广播都关了,绑定了mac,绑定了ip,我不信他能爆破用某些方法连接到我的wifi。我肯定他连我wifi都连接不了。
Jason_C
    29
Jason_C  
   2014-04-29 11:47:18 +08:00
很纳闷,你朋友又不是很牛叉的人物,干嘛人家要监听呢?真的无聊到蛋疼,要是FBI来监听你,你还不荣幸呀~
wzzyj8
    30
wzzyj8  
OP
   2014-04-29 11:54:17 +08:00
@Ever 这个应该可以排除,因为这个事情报警过,当地警方也确认这个事情存在,但是因为服务器在中国之类的原因很难继续查下去。再说,国外很多时候懒得来管你这些事情;整个事情发生的时候也有超过一个以上的人目击整个事情,比如有这样一个场景:

A、B、外加7个朋友大家一起在A家里聚会,手机堆起来叠叠乐,说好谁先动手机谁罚酒,这时候B手机响了,发现是A发过来的消息,但是此时A的手机在桌上,A和C、D一起在厨房做菜。C、D非常确定A没有在厨房里用过手机,也没离开过厨房;然后A出来,解锁手机,随着B和假A互相发聊天记录,发现聊天记录自己在滚动,所有人都看到的

我最最不能理解的是,按照微信的机制,不是应该一方上线了另一方就必须下线吗?这样的劫持是怎么做到的

我想过是蹭网或者有人CSRF(因为路由的用户名、密码是默认的),但是如何做到让微信在不同设备上同时在线?
lentrody
    31
lentrody  
   2014-04-29 11:54:49 +08:00
@dong3580 强密码的确难破,但嗅探连接未广播 AP 的客户端 MAC 并伪装也不是难事儿,爆破 WPA2 主要是通过捕捉握手包然后本地计算 HASH ,验证失败自锁也没啥用。
所以其他都是虚的,一个强密码才真正顶事儿。
too
    32
too  
   2014-04-29 12:00:25 +08:00
玩 Hack 还是老外牛逼!
dong3580
    33
dong3580  
   2014-04-29 12:00:50 +08:00
@lentrody
不是难事?
首先,你怎么伪装我的MAC?
难不成要拿我的电脑,查查MAC是多少,然后修改自己的?呵呵,
wzzyj8
    34
wzzyj8  
OP
   2014-04-29 12:07:01 +08:00
@dong3580 说句公道话,抓包就可以,mac filter很容易过的,经常看到有ap不加密只用mac filter,这纯粹是在作死,不要对mac filter这种东西抱太高期望啊。。
教程见
l0wkey
    35
l0wkey  
   2014-04-29 12:10:29 +08:00
线索都还是很飘渺,无从判断。
1、是仅仅微信这样子还是其他 IM 也都会被监听?比如 WhatsApp、FB Messager?
2、是否与「当局所认为的敏感人士或事件有联系」?
3、仅仅是 A 被这样子监听还是去过他家的人中,其他人也出现过类似情况?

LZ 真的想让大家帮忙搞清楚事情,就需要坦诚的说明情况,而不是写科幻似的让观众一点点拼凑.
hpowen
    36
hpowen  
   2014-04-29 12:16:33 +08:00
lz这点信息。。真心像讲故事。。
其实可以想办法从别的途径把第三方钓出来。。
TF
    37
TF  
   2014-04-29 12:16:56 +08:00
微信漏洞/網絡漏洞
wzzyj8
    38
wzzyj8  
OP
   2014-04-29 12:23:08 +08:00
@l0wkey
1、 已知范围内,只有微信和QQ会有明显被监听的情况,刚开始以为QQ被盗号了,但是最后发现微信解除QQ绑定以后依旧有问题;其他的,因为用的比较少,好像暂时没有发现明显被入侵的痕迹
2、 应该不会,家里正当生意人,和敏感事件在我所知范围内没有直接关联。但是如果衡量入侵值得不值得,我个人觉得完全值得,因为对方是属于土豪类型的人,而且接下来极有可能接手家业,消息也很灵通,估测如果监控他的一些消息在经济收益上还是很划得来的,但是如果我自己是心智正常的黑客就完全没必要让他知道我的存在,更没有必要出面言语恐吓
3、 朋友之中,GF有一样的情况,其他人并没有

因为我自己没有一个头绪,所以不知道哪些线索会比较重要;而且我不是当事人,也只是知道个大概,只能大家问一点我回答一点,抱歉了
clker
    39
clker  
   2014-04-29 12:24:03 +08:00
靠,我刚才手机也提示在别的地方登录了微信。莫非真的有漏洞?
yxqcyl
    40
yxqcyl  
   2014-04-29 12:45:00 +08:00
LZ道听途说
min
    41
min  
   2014-04-29 12:52:34 +08:00   ❤️ 1
建议lz飞过去,第一手资料比较有用,旁人根据转述乱猜无益,也浪费时间
arkilis
    42
arkilis  
   2014-04-29 12:55:39 +08:00
key has been stolen
wulin
    43
wulin  
   2014-04-29 13:24:40 +08:00   ❤️ 1
网页版微信?不排除有未被公布的漏洞,去wooyun问
Just1n
    44
Just1n  
   2014-04-29 13:33:48 +08:00   ❤️ 1
早上的时候我微信也莫名其妙无缘无故的要重新登陆一下,没有设备异常和其他地点登陆提示。
chairuosen
    45
chairuosen  
   2014-04-29 13:47:06 +08:00   ❤️ 1
我觉得是本地网络问题,你手机上VPN再试试
cougar
    46
cougar  
   2014-04-29 14:14:02 +08:00
真玄乎,感觉像双重人格上演
majunbo
    47
majunbo  
   2014-04-29 14:37:00 +08:00
真被你吓着了,没有碰到过这种问题,不过话说回来,怎么可能,维信PC版本的要扫描才能登陆。
wzzyj8
    48
wzzyj8  
OP
   2014-04-29 14:50:06 +08:00
@majunbo 这样说来,好像纯盗取微信网页版Cookie也是可能的入侵途径之一吧
l0wkey
    49
l0wkey  
   2014-04-29 15:11:49 +08:00
@wzzyj8 微信在 web 上登录之后,客户端会有显示「正在使用微信网页版」的.
konakona
    50
konakona  
   2014-04-29 15:25:43 +08:00
好高端的样子!!!
Lucius
    51
Lucius  
   2014-04-29 16:20:38 +08:00
双重人格吧。其实是另外一个人格在操作你现在的人格不知情而已!
chainkhoo
    52
chainkhoo  
   2014-04-29 16:34:42 +08:00   ❤️ 1
一般来说可能是招惹了哪个网监的?
这些东西都是有专门的GOV接口的
barbery
    53
barbery  
   2014-04-29 17:08:27 +08:00   ❤️ 1
怎么看起来那么像之前看的wifi会话挟持。。。 http://zhuanlan.zhihu.com/evilcos/19704671
wzzyj8
    54
wzzyj8  
OP
   2014-04-29 17:25:04 +08:00
@chainkhoo 正在考虑这种可能性,但是理论上感觉没有人会冒着丢饭碗的风险来整人。。
towser
    55
towser  
   2014-04-29 17:34:26 +08:00
单步调试,先换路由器看看还会不会窃听,逐步排除其他可能产生问题的变量。
andyhu
    56
andyhu  
   2014-04-29 17:43:54 +08:00
换个android试试,或者换个apple数据线,然后换掉路由和密码,用WPA2加密
huoshanhui
    57
huoshanhui  
   2014-04-29 19:17:17 +08:00
换个国内的朋友登录试试?
wzzyj8
    58
wzzyj8  
OP
   2014-04-29 19:18:18 +08:00
@andyhu 换数据线有什么典故吗?原装数据线应该没什么问题的吧。。
lyric
    59
lyric  
   2014-04-29 19:25:29 +08:00
@wzzyj8 hi,lz 有没有 email 或者其它联系方式,我可以帮你查一下这个案例。
xatest
    60
xatest  
   2014-04-29 19:45:32 +08:00
@lyric 让他找微信客服,结果他无视我的回复。。。
lyric
    61
lyric  
   2014-04-29 19:49:00 +08:00
@xatest 找客服客服也解决不了,最后还是要上报到我这里来。
wzzyj8
    62
wzzyj8  
OP
   2014-04-29 20:08:08 +08:00
@xatest Sorry回复太多一下回不过来,但是如果是找客服能解决的事情就不会报警了亲。。这条路当然尝试过的,他托国内的朋友帮忙打过,客服当然会告诉你,杀毒哦亲,不要越狱哦亲,修改密码哦亲,但是真的不能最后解决问题
@lyric 谢谢跟进,我最后让他跟进一下是不是路由的问题,事情我是前天刚知道,因为不在一个国家,他找不到合适的途径和我说,现在easter假期刚结束,他人还在回来的路上,稍后无论哪种情况我都会email你update新的情况。
现在已经现行给您发了邮件建立联系,Thx
zwl2828
    63
zwl2828  
   2014-04-29 21:01:08 +08:00
@Just1n 我也是中午被要求重新登录。
jerry22yu
    64
jerry22yu  
   2014-04-29 21:54:25 +08:00
@wzzyj8 微信是有Desktop客户端的,可以在电脑上同步收到手机微信的信息,也能发微信。
Ricepig
    65
Ricepig  
   2014-04-30 01:19:48 +08:00
换了手机卡吗?

手机卡被破解并复制也是可能有这个现象的。。。
Jake
    66
Jake  
   2014-04-30 01:29:25 +08:00
微信中,主设备是单点登录的。所有的副设备(mac、网页)登录都会在主设备(手机)上有banna提示,且点击banna后可以选择退出副设备的登录。楼主找lyric同学帮忙解决是靠谱的。关注这个事情。有需要我也可以帮忙跟进。
garipan
    67
garipan  
   2014-04-30 02:09:17 +08:00
确定这不是鬼故事吗………………我小时候看过一个鬼故事说有一个鬼魂活在网络里的……可以自由穿梭 还可以和你聊QQ……
garipan
    68
garipan  
   2014-04-30 02:20:23 +08:00
@winnie2012 知乎99.99%都是一瓶子不满半瓶子晃荡的人……还不如直接联系微信内部的人……
anheiyouxia
    69
anheiyouxia  
   2014-04-30 06:29:58 +08:00
@wzzyj8 这个事你没亲自看过,只是听过他说,有很大可能含有被夸大的成分,类似的行为周围并不少见。
wzzyj8
    70
wzzyj8  
OP
   2014-04-30 07:04:22 +08:00 via Android
@Ricepig 手机卡没换,唯一没换的就是手机卡了。这种可能性我自己考虑过,但是排除了,我自己很多年以前在企鹅卡流行的时候玩过SIM卡复制一类的设备,一张SIM卡哪怕被复制了也只能有最后通信过的设备会在线收信,并不会说像鬼魅一样同时在线。而且国外新的SIM卡理论上不好破解

谢谢@Jake我已经把相关账号和联系人联系方式托付给了热心的@lyric

@anheiyouxia被夸大的部分应该很小,因为这是一件已经报警但尚未得到解决的事情,很明确的说有的细节应该是得到警方证实的,当然我也考虑了这种可能性,所以让Lyric直接问他本人具体事发细节

@garipan小时候就有和QQ相关的鬼故事。。好年轻。。知乎相关的arguement强烈同意!发知乎可能还是发豆瓣有用,至少土豪换下来的设备可以卖个高价
shw1395
    71
shw1395  
   2014-04-30 07:06:43 +08:00
是不是家里被安装了监控摄像头?去外面草地或者广场、公园再改掉密码登陆一次试试呢?
surfmanjoe
    72
surfmanjoe  
   2014-04-30 08:41:11 +08:00
@Ever +1
XDA
    73
XDA  
   2014-04-30 09:03:51 +08:00
有个词叫“家贼难防”,另外:技术层面,微信or扣扣,是检测每次IP登录的吧?有时候我从家wifi到公司wifi就会提示别处登录,让重输密码,根据LZ描述像是肥皂剧情节啊,家族暗斗!巨额家产继承!
jimbray
    74
jimbray  
   2014-04-30 09:13:23 +08:00
好恐怖的感觉.......
lazygunner
    75
lazygunner  
   2014-04-30 09:30:54 +08:00   ❤️ 1
应该是家里网络出口或者更高层的网络设备被串监控设备了,而且设备的功能不只是被动监测,还有主动攻击。国内这方面都勉强可用了,更何况国外。
andyhu
    76
andyhu  
   2014-04-30 09:38:13 +08:00   ❤️ 1
@wzzyj8 曾经看到过有黑客制造出来过特殊的的数据线,自动越狱和植入木马,不过必须要有物理接触换掉数据线才行
summic
    77
summic  
   2014-05-04 10:49:13 +08:00
微信的设备孖号检测机制保证了绝不可能两个设备同时登陆一个帐号
lz不如找中医看看吧
cloud107202
    78
cloud107202  
   2014-05-04 20:53:10 +08:00   ❤️ 1
wzzyj8
    79
wzzyj8  
OP
   2014-05-09 18:27:56 +08:00
事情成功解决,谢谢大家的鼎力相助!我稍后空了会update具体细节
manhere
    80
manhere  
   2014-05-09 18:32:15 +08:00
web版本微信可以和app同时在线
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2864 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 33ms · UTC 13:30 · PVG 21:30 · LAX 05:30 · JFK 08:30
Developed with CodeLauncher
♥ Do have faith in what you're doing.