从白宫幕僚到战地记者，即时通讯软件（IM）是无数要害东说念主群不可或缺的同样器具。非论是 WhatsApp、Telegram，如故微信、QQ，它们一经成为当代社会的"数字血管"，承载着数十亿用户的酬酢、支付与办公等中枢业务，其安全性平直关联个东说念主诡秘、金融钞票，乃至国度安全。

事实上，对于 IM 的安全征询早已伸开。2019 年 Project Zero 线路了 iMessage 中的 CVE-2019-8641 谬误 [ 1 ] ，该谬误是一个内存破损问题。iMessage 会自动默契音尘中的富媒体实践，挫折者仅需发送坏心构造的文献，即可在无需用户交互的情况下终了辛勤代码施行，齐全戒指观点 iPhone 开荒。

DARKNAVY 将在本文中以微信为例，从 URL 默契、文献处理、网页造访等典型场景开赴，系统梳理即时通讯客户端的要害挫折面，理解攻防背后的博弈。

IM 挫折面概览

从体系架构开赴，即时通讯软件的挫折面可分辨为三个主要维度，分别是客户端层面、通讯条约层面以及云霄工作层面。本文将要点分析客户端的挫折面，接头其中可能导致辛勤代码施行或明锐信息泄漏的安全问题。

1 URL 连络

大量 IM 客户端支援自界说条约（如   weixin://、tg://）以终了应用内跳转，然而，挫折者可借助构造伪装为正当连络的坏心肯求，诳骗客户端对 URL 校验不严的谬误引导用户造访垂纶站点。更具遮盖性的是对一些特等功能 URL 的失掉。举例，slack://settings 不错终了改革成立的功能，挫折者通过构造特定参数的连络并引导用户点击，不错终了数据窃取 [ 2 ] 。

使用 weixin:// 条约怒放微信

2   文献默契

为栽培用户体验，IM 客户端时常集成自有文献默契逻辑以终了体式预览与实践索要。挫折者可通过构造特制的坏心文献，诳骗默契功能的谬误终了辛勤代码施行。举例，CVE-2019-11932 [ 3 ] 和 CVE-2025-30401 [ 4 ] 分别是 WhatsApp Android 客户端和 Windows 客户端中的严重谬误，前者通过坏心 GIF 文献触发挫折，后者则通过伪装成图像的可施行文献引导用户施行。

3 内置浏览器组件

大量 IM 客户端内置浏览器以支援网页造访，时常聘任基于 Chrome 的自界说内核。其挫折面主要麇集在两类技艺旅途上：

一是 JSBridge，若客户端未对裸露给网页接口进行讲求化权限戒指，则可能被坏心网页调用终了权限失掉；

二是浏览器内核谬误，举例，DARKNAVY 团队于 2023 年发布的预警 [ 5 ] 中指出，源于 Chromium 内核中 libwebp 组件的谬误 CVE-2023-41064 & 4863，影响包括微信、钉钉、QQ 在内的多个主流 IM 软件。

CVE-2023-41064 & 4863 谬误影响 Windows 平台微信客户端

4   小阵势生态

为拓展工作规模，微信、钉钉等 IM 客户端纷繁开放小阵势平台，赋予第三方开发者丰富的系统权限，如文献系统造访、传感器调用、API 接口使用等。然而，若客户端在权限解决或功能终了上存在冒失，挫折者可借助坏心小阵势实施挫折。

微信挫折面分析

DARKNAVY 团队对微信客户端的挫折面进行了初措施研，底下将从多个维度先容微信客户端濒临的主要安全风险相配支吾机制。

1 微信 URL 连络

微信客户端内置了调试连络机制，当用户造访的 URL 中包含   debugxweb.qq.com   时，会字据 URL 中的参数触发不同调试行为。举例，传入参数   show_webview_version   可在页面上展示现时 WebView 内核的版块信息及干系成就。

show_webview_version 展示的版块信息

尽管该机制为调试带来便利，但若挫折者构造坏心 URL 并引导用户造访，可能在无须户感知的情况下触发高风险操作，如版块回退或成就变更。为裁减风险，微信客户端法规了   install_embed_plugin   等明锐操作仅可在开启   bEnableLocalDebug   选项后施行。同期，对于如   set_config_url   等可修改赢得成就 URL 的功能，微信也加入了严格的域名与条约校验，仅允许使用 HTTPS 且域名法规为   dldir1.qq.com   或   dldir1v6.qq.com，灵验避开了成就被点窜的风险。

set_config_url 等功能的 URL 校验

此外，微信支援   weixin://   条约终了里面跳转，举例   weixin://dl/   用于页面导航。对于带   ticket   参数的连络，微信客户端和会过   /cgi-bin/mmbiz-bin/translatelink   接口向云霄肯求真确跳转地址，从而幸免挫折者伪造连络引导用户造访苟且页面，灵验增强了连络跳转的安全性。

2   微信内置浏览器组件（XWEB）

安卓微信使用自研的 XWEB 内核，基于 Chromium 开发。截止本文裁剪时，内核开发版的 Chromium 版块是 134.0.6998.136，而现网版块是 130.0.6723.103，而 Chrome 官方浏览器的版块是 136.0.7103.93。XWEB 保合手了相对跳跃的内核版块，不外仍存在一定的滞后性，有可能受未开发的公开谬误影响。

为栽培浏览器安全性，微信默许启用了多程度沙箱机制。主程度启动在   xweb_privileged_process_0，而渲染程度则禁锢于   xweb_sandboxed_process_0，灵验缓解了对渲染程度谬误的挫折诳骗。

安卓微信客户端的程度禁锢

微信还提供了丰富的 JSBridge 接供词网页调用原生功能，举例   sendEmail   可唤起客户端发邮件、scanQRCode   可调用录像头扫描二维码。

使用 sendEmail 投入发邮件界面

为防护失掉，微信客户端在加载网页时会字据 URL 向云霄肯求权限列表，以讲求化戒指每个 JSBridge 接口是否可用。在某些特定官方测试页面上，大大量接口默许开放，而在其他页面中，仅开放少数接口。此种基于页面开首的权限分辨计谋，灵验法规了潜在坏心网页的破损智力。

3 微信小阵势安全机制

微信小阵势聘任 JavaScript 开发，架构上分为渲染层与逻辑层，分别在孤苦线程中启动，互相禁锢。其中渲染层崇拜界面展示，而逻辑层处理业务逻辑。开发者编写的逻辑层的 JavaScript 剧本不行使用浏览器暴裸露来的 DOM API，而渲染层的 JavaScript 剧本也无法使用开发者的高权限功能。微信客户端给渲染层和逻辑层裸露的 JSAPI 功能也有所不同，举例渲染层不错调用 insertVideoPlayer、insertTextArea 等功能，而逻辑层不错调用 saveFile、addDownloadTask 等功能。这么的禁锢防护了挫折者通过小阵势的 XSS 等谬误在渲染层施行高权限操作。

addToPagePool 添加渲染层的 JSAPI

渲染层不错使用的一些 JSAPI

结语

微信四肢国内最具代表性的 IM 软件，在安全机制上体现出多层防护与权限细化解决的运筹帷幄念念路，如 JSBridge 讲求授权、浏览器沙箱禁锢、小阵势双线程架构等，体现出其对安全风险的高度爱好。

四肢永远温煦即时通讯软件安全的征询团队，DARKNAVY 始但愿通过合手续的谬误征询、攻防分析与技艺共享，鼓动 IM 生态在保险用户体验的同期，愈加持重、安全、着实地上前发展。

预报

本征询实践已入选专注隧说念技艺交流的全新网罗安全闭门沙龙 deepsec.cc ( Deep Security   Closed-door   Conference ) ，将于 6 月 16 日在现场真切接头。

参   考

[ 1 ]  https://googleprojectzero.blogspot.com/2020/01/remote-iphone-exploitation-part-3.html

[ 2 ]  https://medium.com/tenable-techblog/stealing-downloads-from-slack-users-be6829a55f63

[ 3 ]  https://awakened1712.github.io/hacking/hacking-whatsapp-gif-rce/

[ 4 ]  https://www.facebook.com/security/advisories/cve-2025-30401

[ 5 ]  https://mp.weixin.qq.com/s/zqxkYk7vRvDPKxgoVj1PRw开云体育(中国)官方网站