近幾天,一條“點擊後讓對方在聊天中自動發送指定文字”的消息在全網瘋傳。在 Android 端和 HarmonyOS 4.3 及以下版本的微信中,普通用戶通過發送一行特殊的 HTML 鏈接,即可借用公衆號菜單消息(bizmsgmenu)的功能,讓好友在點擊後自動發出預設文字,如“測試”或“爸爸”。
用戶在聊天界面(可引用任意人、羣聊內任意消息)中發送如下代碼,代碼放在評論區了,文章顯示不出來。
收到此消息的好友,點擊藍色“點我”鏈接後,微信會直接把 msgmenucontent 參數中的“測試”文本發送到當前聊天窗口,無需任何二次確認 。
此漏洞利用了微信公衆號“自定義菜單”或“客服消息”中 weixin://bizmsgmenu 協議的設計:
1. 正常情況下,公衆號可通過該協議在聊天界面彈出對應菜單或直接下發消息。
2. Android 客戶端在解析此協議時未做身份校驗,將其當作普通鏈接處理,並觸發消息發送流程。
3. 普通用戶並非公衆號,仍可構造該鏈接並注入任意內容到對方的輸入框中,從而“假冒”公衆號進行消息下發 。
Android & HarmonyOS ≤4.3:完全可點擊並生效,點擊即可自動發送預設文字。
HarmonyOS 5:依然顯示爲可點擊的藍色文字,但點擊後頁面會白屏,不再觸發發送;相當於“掛起”了協議調用。
iOS、PC、Web 等其他客戶端:不識別該 weixin:// 協議,直接將完整代碼以純文本形式展示,不會呈現“點我”鏈接,也無法生效 。
更多遊戲資訊請關註:電玩幫遊戲資訊專區
電玩幫圖文攻略 www.vgover.com
