小心网易泡泡泄漏你的密码
网络与通信
尽管网易泡泡(POPO)声称自己是目前最为安全的即时聊天工具,相比ICQ、QQ等其他软件,它不会暴露您的IP地址,不会给你带来任何的安全隐患,但笔者在使用网易泡泡时却发现了它具有极严重的安全漏洞,非常容易使用户密码被窃取。
漏洞一
首先,通过网易泡泡控制面板右上角的关闭按钮(Windows窗口的“×”按钮,(图1))关闭网易泡泡时,其实并没有真正退出网易泡泡,它仍然运行于后台。看看桌面右下角的任务栏(图2),网易泡泡是不是还在运行?这很容易让普通用户误认为已经安全退出而离去,下一位电脑用户就可以轻易地利用该账号肆意聊天,损害用户的利益。笔者强烈建议用户用“文件”菜单的“退出”命令或者任务栏中网易泡泡右键菜单中的“退出”命令安全关闭网易泡泡程序。
漏洞二
当你通过控制面板右上角的关闭按钮关闭网易泡泡窗口离开后,下一位用户双击任务栏的网易泡泡图标,又可以弹出程序窗口,然后依次点击“工具→系统配置→邮件检查”,将出现(图3)所示的设置界面,看看,是不是有邮箱的密码?!不要因为这些密码全部用星号显示而掉以轻心,因为稍有电脑安全知识的人都可以通过一些软件查看这种星号密码,比如去网上下载一个小巧的“星号密码查看器”或者用“超级兔子魔法设置”等,你的密码就被别人轻易获取,这将同时危及你的聊天安全和邮件安全。
漏洞三
如果用户在登录时选择了登录窗口中的“在这台计算机上保存我的登录名和密码”选项,即使彻底退出了网易泡泡,下一个用户运行网易泡泡时,将出现登录界面,看看,是不是仍然有密码信息。这样一来其他用户不但可以成功登录,而且还可以用上述方法获得密码,然后修改你的密码,让你失去这个账号。
当初的QQ在“更改用户”和“不出现登录提示”中也留下了这种星号密码漏洞,结果让很多QQ密码失守。还好,新版的QQ已经解决了这个问题。笔者建议网易泡泡对此加以改进。