WebQQ 2.0 上線,騰訊又多了款重量級的應用,但是用過程中發現其 Gmail 模塊存在釣魚的嫌疑。當使用 Chrome 訪問其 Gmail 模塊時提示為誘騙網站。
展開這個頁面的 iframe 地址,發現是在 qq.com 域下
https://web2.qq.com/cgi/gmail/gmail.html
但頁面的形式與 Google 的風格一致,非常能讓用戶混淆這就是 Google 自家的頁面。
查看其源代碼,發現並沒有提交到 Google 的痕跡。
然後我們查看其相關的 gmail.js(https://web2.qq.com/cgi/gmail/gmail.js),發現其中有段代碼為
var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"};
if (u != null && p != null) {
option.u = u; // Google 帳戶用戶名
option.p = p; // Google 帳戶密碼
}
formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST", data : option} );
這段應該就是往 GMAIL_SERVER_DOMAIN POST 用戶名和密碼登錄了,那麼 GMAIL_SERVER_DOMAIN 的值是什麼呢?就在本文件的第 14 行
var GMAIL_SERVER_DOMAIN = 'https://web2.qq.com/';
也就是說,你的 Gmail 用戶名和密碼實際上是提交到了
https://web2.qq.com/cgi/qqweb/gmail.do
這個地址。
那麼,作為個技術人,我不禁想問:「騰訊,你想幹什麼?!」 同時建議已經使用過該模塊的用戶盡快更改您的 Google 帳號密碼,並檢查 Gmail 過濾器中有無可疑的項目。
PS,這次的 WebQQ2.0 放棄了 YUI,使用了名為 Jet 的 JavaScript 框架,對其感興趣的可以關注。
UPDATE
* 該 URL 在 Firefox 中也已被人舉報為惡意網站
* 該 Gmail 應用已經被撤下,對應的 JS 文件也已被刪除
-- EOF --
短网址: 版權所有,任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。
【誠徵榮譽會員】溪流能夠匯成大海,小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員:每位榮譽會員每年只需支付一份訂閱費用,成為《看中國》網站的榮譽會員,就可以助力我們突破審查與封鎖,向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊, 在危難時刻向他們發出預警,救他們於大瘟疫與其它社會危難之中。
