QQ 陌生人点赞 功能存在隐私泄露风险

QQ空间 陌生人点赞 功能存在隐私泄露风险

声明：本文仅用于技术研究与安全防护知识分享，严禁任何个人或组织利用文中提及的途径进行非法操作或骚扰他人！

案例一
案例二
漏洞原理
解决方法
反馈建议

不知道大家平时是否喜欢和QQ好友在主页相互点赞呢？受到别人帮助是否喜欢通过点赞的方式来报答呢？然而，QQ主页的“点赞”功能长期存在一个容易被忽视的隐私漏洞。

案例一

今天中午, 我的QQ空间突然被一个非好友, 完全不认识的陌生人轰炸, 并且近期我并没有与任何人发生矛盾

需要注意的是, 我很早就将空间权限设置为 “仅好友可见” 和 “仅好友可留言”

经过排查, 我发现元凶正是通过“允许陌生人点赞”实现的：

案例二

开启“允许陌生人点赞”带来的风险远不止于此, 下面我用我的大小号演示如何通过该漏洞绕过“禁止通过群聊添加我为好友”的设置

首先, 我创建了一个包含大号和小号的群聊

大号防御设置

小号操作

小号通过群聊进入大号主页, 并给大号点赞：

点击头像即可尝试添加好友：

结果:

案例总结

在案例一中, 陌生人通过“点赞漏洞”绕过“仅好友可见”的空间限制，实现SR
案例二中, 小号利用该漏洞成功在“禁止通过群聊添加好友”的限制下，定位并添加大号
该漏洞的存在, 大大削弱了用户自定义隐私设置的有效性

我很不满意😐

漏洞原理与攻击途径

此漏洞的核心在于: “允许陌生人赞我”是一个独立权限开关,可绕过“仅好友可见”等空间权限，形成隐私缺口

攻击者可通过以下途径利用该漏洞：

• 共同群聊（当前或曾经的，甚至已解散的群）
• 通过QQ号/名片搜索
• “可能认识的人”等系统推荐
• ......

只要存在一丝关联(如曾同属一个群), 对方即可通过点赞-追溯的方式绕过限制, 实现空间访问或用户查找

解决方法

手机

电脑

向官方反馈

关闭“允许陌生人赞我”设置, 具体操作如下：

手机

(版本V 9.2.20.29925)主页右滑 -> 左下角设置 -> (隐私栏)隐私设置 -> (陌生人栏)允许陌生人赞我(勾掉)

																																					如图所示↓

步骤1

步骤2

步骤3

步骤4(勾掉)

QQ版本号

电脑QQ

版本:

据我大半天时间查找, 当前PC QQ未直接提供此功能, 但可通过手机端操作

(如果您知道欢迎补充)

向官方反馈

若你也认为该功能存在设计缺陷，可通过以下途径反馈:

• 腾讯客服官网：https://kf.qq.com/
• App内反馈：设置 → 关于QQ与帮助 → 反馈
• QQ安全中心：通过官方微博 , 微信公众号等渠道提出建议

---

网络安全无小事, 出了事就是大事
希望本文能帮助你有效防范风险，祝大家生活愉快

欢迎大家补充