從白宮幕僚到戰(zhàn)地記者，即時通訊軟件（IM）是無數(shù)關(guān)鍵人群不可或缺的溝通工具。無論是 WhatsApp、Telegram，還是微信、QQ，它們已經(jīng)成為現(xiàn)代社會的 " 數(shù)字血管 "，承載著數(shù)十億用戶的社交、支付與辦公等核心業(yè)務(wù)，其安全性直接關(guān)聯(lián)個人隱私、金融資產(chǎn)，乃至國家安全。

事實上，關(guān)于 IM 的安全研究早已展開。2019 年 Project Zero 披露了 iMessage 中的 CVE-2019-8641 漏洞 [ 1 ] ，該漏洞是一個內(nèi)存破壞問題。iMessage 會自動解析消息中的富媒體內(nèi)容，攻擊者僅需發(fā)送惡意構(gòu)造的文件，即可在無需用戶交互的情況下實現(xiàn)遠程代碼執(zhí)行，完全控制目標 iPhone 設(shè)備。

DARKNAVY 將在本文中以微信為例，從 URL 解析、文件處理、網(wǎng)頁訪問等典型場景出發(fā)，系統(tǒng)梳理即時通訊客戶端的關(guān)鍵攻擊面，剖析攻防背后的博弈。

IM 攻擊面概覽

從體系架構(gòu)出發(fā)，即時通訊軟件的攻擊面可劃分為三個主要維度，分別是客戶端層面、通信協(xié)議層面以及云端服務(wù)層面。本文將重點分析客戶端的攻擊面，探討其中可能導致遠程代碼執(zhí)行或敏感信息泄露的安全問題。

1 URL 鏈接

多數(shù) IM 客戶端支持自定義協(xié)議（如 weixin://、tg://）以實現(xiàn)應(yīng)用內(nèi)跳轉(zhuǎn)，然而，攻擊者可借助構(gòu)造偽裝為合法鏈接的惡意請求，利用客戶端對 URL 校驗不嚴的漏洞誘導用戶訪問釣魚站點。更具隱蔽性的是對一些特殊功能 URL 的濫用。例如，slack://settings 可以實現(xiàn)更改設(shè)置的功能，攻擊者通過構(gòu)造特定參數(shù)的鏈接并誘導用戶點擊，可以實現(xiàn)數(shù)據(jù)竊取 [ 2 ] 。

2 文件解析

為提升用戶體驗，IM 客戶端通常集成自有文件解析邏輯以實現(xiàn)格式預(yù)覽與內(nèi)容提取。攻擊者可通過構(gòu)造特制的惡意文件，利用解析功能的漏洞實現(xiàn)遠程代碼執(zhí)行。例如，CVE-2019-11932 [ 3 ] 和 CVE-2025-30401 [ 4 ] 分別是 WhatsApp Android 客戶端和 Windows 客戶端中的嚴重漏洞，前者通過惡意 GIF 文件觸發(fā)攻擊，后者則通過偽裝成圖像的可執(zhí)行文件誘導用戶執(zhí)行。

3 內(nèi)置瀏覽器組件

多數(shù) IM 客戶端內(nèi)置瀏覽器以支持網(wǎng)頁訪問，通常采用基于 Chrome 的自定義內(nèi)核。其攻擊面主要集中在兩類技術(shù)路徑上：

一是 JSBridge，若客戶端未對暴露給網(wǎng)頁接口進行精細化權(quán)限控制，則可能被惡意網(wǎng)頁調(diào)用實現(xiàn)權(quán)限濫用；

二是瀏覽器內(nèi)核漏洞，例如，DARKNAVY 團隊于 2023 年發(fā)布的預(yù)警 [ 5 ] 中指出，源于 Chromium 內(nèi)核中 libwebp 組件的漏洞 CVE-2023-41064 & 4863，影響包括微信、釘釘、QQ 在內(nèi)的多個主流 IM 軟件。

4 小程序生態(tài)

為拓展服務(wù)邊界，微信、釘釘?shù)?IM 客戶端紛紛開放小程序平臺，賦予第三方開發(fā)者豐富的系統(tǒng)權(quán)限，如文件系統(tǒng)訪問、傳感器調(diào)用、API 接口使用等。然而，若客戶端在權(quán)限管理或功能實現(xiàn)上存在疏漏，攻擊者可借助惡意小程序?qū)嵤┕簟?/p>

微信攻擊面分析

DARKNAVY 團隊對微信客戶端的攻擊面進行了初步調(diào)研，下面將從多個維度介紹微信客戶端面臨的主要安全風險及其應(yīng)對機制。

1 微信 URL 鏈接

微信客戶端內(nèi)置了調(diào)試鏈接機制，當用戶訪問的 URL 中包含 debugxweb.qq.com 時，會根據(jù) URL 中的參數(shù)觸發(fā)不同調(diào)試行為。例如，傳入?yún)?shù) show_webview_version 可在頁面上展示當前 WebView 內(nèi)核的版本信息及相關(guān)配置。

盡管該機制為調(diào)試帶來便利，但若攻擊者構(gòu)造惡意 URL 并誘導用戶訪問，可能在無用戶感知的情況下觸發(fā)高風險操作，如版本回退或配置變更。為降低風險，微信客戶端限制了 install_embed_plugin 等敏感操作僅可在開啟 bEnableLocalDebug 選項后執(zhí)行。同時，對于如 set_config_url 等可修改獲取配置 URL 的功能，微信也加入了嚴格的域名與協(xié)議校驗，僅允許使用 HTTPS 且域名限定為 dldir1.qq.com 或 dldir1v6.qq.com，有效規(guī)避了配置被篡改的風險。

此外，微信支持 weixin:// 協(xié)議實現(xiàn)內(nèi)部跳轉(zhuǎn)，例如 weixin://dl/ 用于頁面導航。對于帶 ticket 參數(shù)的鏈接，微信客戶端會通過 /cgi-bin/mmbiz-bin/translatelink 接口向云端請求真實跳轉(zhuǎn)地址，從而避免攻擊者偽造鏈接誘導用戶訪問任意頁面，有效增強了鏈接跳轉(zhuǎn)的安全性。

2 微信內(nèi)置瀏覽器組件（XWEB）

安卓微信使用自研的 XWEB 內(nèi)核，基于 Chromium 開發(fā)。截止本文編輯時，內(nèi)核開發(fā)版的 Chromium 版本是 134.0.6998.136，而現(xiàn)網(wǎng)版本是 130.0.6723.103，而 Chrome 官方瀏覽器的版本是 136.0.7103.93。XWEB 保持了相對領(lǐng)先的內(nèi)核版本，不過仍存在一定的滯后性，有可能受未修復(fù)的公開漏洞影響。

為提升瀏覽器安全性，微信默認啟用了多進程沙箱機制。主進程運行在 xweb_privileged_process_0，而渲染進程則隔離于 xweb_sandboxed_process_0，有效緩解了對渲染進程漏洞的攻擊利用。

微信還提供了豐富的 JSBridge 接口供網(wǎng)頁調(diào)用原生功能，例如 sendEmail 可喚起客戶端發(fā)郵件、scanQRCode 可調(diào)用攝像頭掃描二維碼。

為防止濫用，微信客戶端在加載網(wǎng)頁時會根據(jù) URL 向云端請求權(quán)限列表，以精細化控制每個 JSBridge 接口是否可用。在某些特定官方測試頁面上，大多數(shù)接口默認開放，而在其他頁面中，僅開放少數(shù)接口。此種基于頁面來源的權(quán)限劃分策略，有效限制了潛在惡意網(wǎng)頁的破壞能力。

3 微信小程序安全機制

微信小程序采用 JavaScript 開發(fā)，架構(gòu)上分為渲染層與邏輯層，分別在獨立線程中運行，相互隔離。其中渲染層負責界面展示，而邏輯層處理業(yè)務(wù)邏輯。開發(fā)者編寫的邏輯層的 JavaScript 腳本不能使用瀏覽器暴露出來的 DOM API，而渲染層的 JavaScript 腳本也無法使用開發(fā)者的高權(quán)限功能。微信客戶端給渲染層和邏輯層暴露的 JSAPI 功能也有所不同，例如渲染層可以調(diào)用 insertVideoPlayer、insertTextArea 等功能，而邏輯層可以調(diào)用 saveFile、addDownloadTask 等功能。這樣的隔離防止了攻擊者通過小程序的 XSS 等漏洞在渲染層執(zhí)行高權(quán)限操作。

結(jié)語

微信作為國內(nèi)最具代表性的 IM 軟件，在安全機制上體現(xiàn)出多層防護與權(quán)限細化管理的設(shè)計思路，如 JSBridge 精細授權(quán)、瀏覽器沙箱隔離、小程序雙線程架構(gòu)等，體現(xiàn)出其對安全風險的高度重視。

作為長期關(guān)注即時通訊軟件安全的研究團隊，DARKNAVY 始希望通過持續(xù)的漏洞研究、攻防分析與技術(shù)分享，推動 IM 生態(tài)在保障用戶體驗的同時，更加穩(wěn)健、安全、可信地向前發(fā)展。

預(yù)告

本研究內(nèi)容已入選專注純粹技術(shù)交流的全新網(wǎng)絡(luò)安全閉門沙龍 deepsec.cc ( Deep Security Closed-door Conference ) ，將于 6 月 16 日在現(xiàn)場深入探討。

參 考

[ 1 ] https://googleprojectzero.blogspot.com/2020/01/remote-iphone-exploitation-part-3.html

[ 2 ] https://medium.com/tenable-techblog/stealing-downloads-from-slack-users-be6829a55f63

[ 3 ] https://awakened1712.github.io/hacking/hacking-whatsapp-gif-rce/

[ 4 ] https://www.facebook.com/security/advisories/cve-2025-30401

[ 5 ] https://mp.weixin.qq.com/s/zqxkYk7vRvDPKxgoVj1PRw