WebQQ 2.0 上線,騰訊又多了款重量級的應用,但是用過程中發現其 Gmail 模塊存在釣魚的嫌疑。當使用 Chrome 訪問其 Gmail 模塊時提示為誘騙網站。
展開這個頁面的 iframe 地址,發現是在 qq.com 域下
https://web2.qq.com/cgi/gmail/gmail.html
但頁面的形式與 Google 的風格一致,非常能讓用戶混淆這就是 Google 自家的頁面。
查看其源代碼,發現並沒有提交到 Google 的痕跡。
然後我們查看其相關的 gmail.js(https://web2.qq.com/cgi/gmail/gmail.js),發現其中有段代碼為
var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"}; if (u != null && p != null) { option.u = u; // Google 帳戶用戶名 option.p = p; // Google 帳戶密碼 } formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST", data : option} ); 這段應該就是往 GMAIL_SERVER_DOMAIN POST 用戶名和密碼登錄了,那麼 GMAIL_SERVER_DOMAIN 的值是什麼呢?就在本文件的第 14 行
var GMAIL_SERVER_DOMAIN = 'https://web2.qq.com/';
也就是說,你的 Gmail 用戶名和密碼實際上是提交到了
https://web2.qq.com/cgi/qqweb/gmail.do
這個地址。
那麼,作為個技術人,我不禁想問:「騰訊,你想幹什麼?!」 同時建議已經使用過該模塊的用戶盡快更改您的 Google 帳號密碼,並檢查 Gmail 過濾器中有無可疑的項目。
PS,這次的 WebQQ2.0 放棄了 YUI,使用了名為 Jet 的 JavaScript 框架,對其感興趣的可以關注。
UPDATE
- 該 URL 在 Firefox 中也已被人舉報為惡意網站
- 該 Gmail 應用已經被撤下,對應的 JS 文件也已被刪除
-- EOF --
沒有留言:
發佈留言