2010年9月20日

警惕 WebQQ2.0 的 Gmail 釣魚

WebQQ 2.0 上線騰訊又多了款重量級的應用,但是用過程中發現其 Gmail 模塊存在釣魚的嫌疑。當使用 Chrome 訪問其 Gmail 模塊時提示為誘騙網站。

http://pic.yupoo.com/feelinglucky/AtjUsvYn/medium.jpg

展開這個頁面的 iframe 地址,發現是在 qq.com 域下

https://web2.qq.com/cgi/gmail/gmail.html

但頁面的形式與 Google 的風格一致,非常能讓用戶混淆這就是 Google 自家的頁面。

http://pic.yupoo.com/feelinglucky/AtjUtkqO/medium.jpg

查看其源代碼,發現並沒有提交到 Google 的痕跡。

然後我們查看其相關的 gmail.js(https://web2.qq.com/cgi/gmail/gmail.js),發現其中有段代碼為

var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"}; if (u != null && p != null) {     option.u = u; // Google 帳戶用戶名     option.p = p; // Google 帳戶密碼 } formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST",    data : option} );    

這段應該就是往 GMAIL_SERVER_DOMAIN POST 用戶名和密碼登錄了,那麼 GMAIL_SERVER_DOMAIN 的值是什麼呢?就在本文件的第 14 行

var GMAIL_SERVER_DOMAIN = 'https://web2.qq.com/';

也就是說,你的 Gmail 用戶名和密碼實際上是提交到了

https://web2.qq.com/cgi/qqweb/gmail.do

這個地址。

那麼,作為個技術人,我不禁想問:「騰訊,你想幹什麼?!」 同時建議已經使用過該模塊的用戶盡快更改您的 Google 帳號密碼,並檢查 Gmail 過濾器中有無可疑的項目。

PS,這次的 WebQQ2.0 放棄了 YUI,使用了名為 Jet 的 JavaScript 框架,對其感興趣的可以關注。

UPDATE

-- EOF --

http://www.gracecode.com/archives/3034/

沒有留言:

發佈留言