特殊二维码图片疯传全网：可导致微信闪退

高级会员

特殊二维码图片疯传全网：可导致微信闪退，扫码 Bug 已被找到播报文章

                               
登录/注册后可看大图

IT之家

2023-04-26 07:53青岛软媒网络科技有限公司,优质数码领域创作者,活力创作者

关注

IT之家 4 月 26 日消息，据IT之家多位网友投稿，一张二维码图片近日疯传全网，在微信中打开该图片（或长按）将导致微信闪退，连续闪退多次微信会进入安全模式，账号被强制登出。

                               
登录/注册后可看大图

根据 OpenCV 中国团队的最新消息，这一 Bug 出现在了微信的扫码引擎中（IT之家注：微信团队于 2021 年在 OpenCV 开源了其扫码引擎）。

根据 GitHub 用户 Konano 和 GZTimeWalker 发现的内存读写 Bug，恶意制作的图片会通过无效的内存访问导致 wechat_qrcode 模块崩溃。

问题发生在 DecodedBitStreamParser::decodeByteSegment 中。如下面的代码所示，如果传入参数 bits_是内容为空但长度非零的 ByteSegment，此时 bits.available () 返回 0，随后 count 被更新为 0，但 nBytes 没有更新仍保持为非 0。这会造成后面的 append 函数访问空指针 readBytes 读取 nBytes 数据，导致程序终止。

                               
登录/注册后可看大图

目前这一 Bug 已被用户提交代码修复，开源的速度还是很快的。IT之家小伙伴可以在微信中检查更新获取热补丁修复，没有收到的可以稍等片刻。

                               
登录/注册后可看大图

wqwq212

直接升级一下应该会好的

xh1048

好可怕啊，我是从来都不主动升级微信的，微信的真坑太大了。

wgm468

所以不要随意扫外面的二维码

smallanntse

所以不要乱扫描二维码，很危险的，

laipihou

令人担忧的二维码扫码支付-----真的那么美好？（本人多年前原创文章）

这两天看新闻，经常看到对国内移动支付蓬勃发展的赞扬，甚至说日本网友惊呼，中国人会看不起还在用现金的野蛮的日本人。这对于天生对二维码就抵触的我来说，真是感到万分的担忧。
二维码，其实就是一段二进制代码，可以包含文字、数字、符号、甚至图片等信息，更可以包含可执行代码。这些本身并没有什么，因为计算机程序本来就是专门和这些打交道的，问题是里面到底包含了什么，我们凭肉眼是不能直观的看到的。扫码支付，看起来很方便，但是真的安全吗？假如有人把收款的二维码进行更改，加进去恶意代码，而且是延期发作的恶意代码，然后再重新生成二维码贴出来供人扫描付款呢？可能你当时扫了码完成了支付，看起来一切正常，但是其中的恶意代码已经潜伏在你手机或电脑中，到了设定的时间或满足触发的条件时就会发作，窃取你的隐私密码等信息。这种方式其实已经不是什么新鲜事了。其他的比如说把自己的收款码打印出来偷偷地覆盖到别人的收款码上,或者把自己特定金额的付款成功的界面截图保存,下次需要支付相同金额就把截图调出来给商家看等等就更是小儿科了.
计算机技术源于西方，发展到现在无论是软件还是硬件中国都不能和他们相提并论，那么看起来这么简单方便的移动支付，为什么在西方就没有发展流行起来吗？这是个值得深究的问题。可惜中国的管理部门似乎没有去深究。有的新闻说中国是沾了刷卡支付没有普及的光，是弯道超车，大大领先了他们。而在我看来，是因为中国的管理部门放任管理，听之任之，没有充分的考虑风险，说白了是更像是一个政绩工程。微信支付宝都是企业，企业都是逐利的，只要不违法，有利的事谁都想干，这本无可厚非，可是对于管理部门就不同了，安全才是他们应该首要考虑的因素。二维码从它在中国出现的那天，从我第一次认识他的那天，我就深深地感受到了它的不安全。他就像一个深藏不漏的张牙舞爪的怪物，你永远都看不到他里面藏着什么，每次用自己的手机扫码，我都觉得我把自己给出卖了，把自己毫无防范的展示给了对方，任人宰割。而正是中国人最喜欢的一点：免费，使得二维码支付快速发展，人们只为了他的方便和免费，就把潜在的风险抛到脑后。或许对于普通百姓，甚至根本就不知道那里面还有风险吧！
那么类似的移动扫码支付根本就行不通吗？也不是，我可以提供一种思路供“有关部门”参考，那就是把扫描的对象从看不懂的二维码变成能看懂的明文。比如微信扫码支付：就可以把二维码改成排版成方块状（便于扫描）的汉字，比如说“微信收款，微信号***”。里面不要包含任何让人看不懂的信息，确保安全性。至于隐私，不必担心，没见好多单位的业务员都把银行账号印在名片背后吗？收款码其实就相当于个账号而已。印刷体的汉字对于现在的文字识别可是小菜一碟了，只要不是特别模糊，识别准确性不会比二维码差。当然我只是举个例子，具体怎么实现，还得专家来解决。
扫二维码，其实就是计算机输入技术的一种，说白了跟早期最原始的孔带输入大同小异，只不过利用了更先进的图像识别技术罢了。这个技术我认为只适合企业单位内部管理使用，绝对不适合公众场所大规模使用。我们本地这两天开始更新道路指示牌，新指示牌上还增加了二维码，据说只要扫了这个二维码，就能看到这条道路的详细情况。我很担心，这个二维码要是被骗子偷偷更换了怎么办，或者对于没有带手机的想了解道路怎么办，为什么不能直接把道路情况印刷到指示牌背面或者下面呢？还有好多景区介绍，企业宣传等都会印个二维码，扫了就能更详细的了解。我都纳闷了，为什么不能直接把详细情况印出来呢？非要多此一举呢？