警惕 WebQQ2.0 的 Gmail 釣魚(組圖)

發表:2010-09-15 11:45
手機版 简体 打賞 4個留言 列印 特大

WebQQ 2.0 上線,騰訊又多了款重量級的應用,但是用過程中發現其 Gmail 模塊存在釣魚的嫌疑。當使用 Chrome 訪問其 Gmail 模塊時提示為誘騙網站。

展開這個頁面的 iframe 地址,發現是在 qq.com 域下

https://web2.qq.com/cgi/gmail/gmail.html

但頁面的形式與 Google 的風格一致,非常能讓用戶混淆這就是 Google 自家的頁面。

查看其源代碼,發現並沒有提交到 Google 的痕跡。

然後我們查看其相關的 gmail.js(https://web2.qq.com/cgi/gmail/gmail.js),發現其中有段代碼為

var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"};
if (u != null && p != null) {
option.u = u; // Google 帳戶用戶名
option.p = p; // Google 帳戶密碼
}
formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST", data : option} );

這段應該就是往 GMAIL_SERVER_DOMAIN POST 用戶名和密碼登錄了,那麼 GMAIL_SERVER_DOMAIN 的值是什麼呢?就在本文件的第 14 行

var GMAIL_SERVER_DOMAIN = 'https://web2.qq.com/';

也就是說,你的 Gmail 用戶名和密碼實際上是提交到了

https://web2.qq.com/cgi/qqweb/gmail.do

這個地址。

那麼,作為個技術人,我不禁想問:「騰訊,你想幹什麼?!」 同時建議已經使用過該模塊的用戶盡快更改您的 Google 帳號密碼,並檢查 Gmail 過濾器中有無可疑的項目。

PS,這次的 WebQQ2.0 放棄了 YUI,使用了名為 Jet 的 JavaScript 框架,對其感興趣的可以關注。

UPDATE

* 該 URL 在 Firefox 中也已被人舉報為惡意網站
* 該 Gmail 應用已經被撤下,對應的 JS 文件也已被刪除

-- EOF --



来源:Gracecode.com

短网址: 版權所有,任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。



【誠徵榮譽會員】溪流能夠匯成大海,小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員:每位榮譽會員每年只需支付一份訂閱費用,成為《看中國》網站的榮譽會員,就可以助力我們突破審查與封鎖,向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊, 在危難時刻向他們發出預警,救他們於大瘟疫與其它社會危難之中。
榮譽會員

看完這篇文章您覺得

評論



加入看中國會員
捐助

看中國版權所有 Copyright © 2001 - Kanzhongguo.com All Rights Reserved.

blank
x
我們和我們的合作夥伴在我們的網站上使用Cookie等技術來個性化內容和廣告並分析我們的流量。點擊下方同意在網路上使用此技術。您要使用我們網站服務就需要接受此條款。 詳細隱私條款. 同意