正文

新闻!国产知名开源工具留痕疑似偷取微信敏感信息!

admin
admin V管理员 /0 评论 /131 阅读
0720
此篇文章发布距今已超过115天,您需要注意文章的内容或图片是否可用!


免责声明

传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

1.工具介绍

该工具为github上开源的工具,功能:提取微信聊天记录,将其导出成HTML、Word、Excel文档永久保存,对聊天记录进行分析生成年度聊天报告,用聊天数据训练专属于个人的AI聊天助手。截止目前,在github上已有 31.6k stars,在去年乃至今年都是非常火热的一款工具,非常多公众号、自媒体等推荐过这个工具,使用人数非常之多。项目地址:
https://github.com/LC044/WeChatMsg
为防项目主暗改代码,棉花糖做了一份完整留存:
https://pan.quark.cn/s/1ea859e4d4d2

2.详细分析

相关代码路径:
appuitoolget_bias_addrget_bias_addr.py
疑似存在问题的代码:

可以看到在代码中,上传参数包括了用户手机号、微信wxid、昵称等信息,而有意思的是,项目在UI中会提示“为了适配更多版本,需要收集微信的版本信息,该操作不会上传包括手机号、微信号、昵称等在内的任何信息”

但实际上全部的参数都已经传递到upload函数,上传的相关网址为:

api.lc044.love

大家都知道,获取了微信手机号,对应的微信号,昵称后,可以制作出一个庞大的数据库,用于社工信息,甚至TG、暗网售卖。

那么你是否用过这个工具?你的信息是否还安全?对此您有什么看法吗?欢迎在留言区发表您的见解。

同时为大家准备了多达2G的信息安全技术相关文档,后台回复:0720

——The  End——


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网