警惕 WebQQ2.0 的 Gmail 釣魚(組圖)

WebQQ 2.0 上線,騰訊又多了款重量級的應用,但是用過程中發現其 Gmail 模塊存在釣魚的嫌疑。當使用 Chrome 訪問其 Gmail 模塊時提示為誘騙網站。

展開這個頁面的 iframe 地址,發現是在 qq.com 域下

https://web2.qq.com/cgi/gmail/gmail.html

但頁面的形式與 Google 的風格一致,非常能讓用戶混淆這就是 Google 自家的頁面。

查看其源代碼,發現並沒有提交到 Google 的痕跡。

然後我們查看其相關的 gmail.js(https://web2.qq.com/cgi/gmail/gmail.js),發現其中有段代碼為

var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"};
if (u != null && p != null) {
option.u = u; // Google 帳戶用戶名
option.p = p; // Google 帳戶密碼
}
formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST", data : option} );

這段應該就是往 GMAIL_SERVER_DOMAIN POST 用戶名和密碼登錄了,那麼 GMAIL_SERVER_DOMAIN 的值是什麼呢?就在本文件的第 14 行

var GMAIL_SERVER_DOMAIN = 'https://web2.qq.com/';

也就是說,你的 Gmail 用戶名和密碼實際上是提交到了

https://web2.qq.com/cgi/qqweb/gmail.do

這個地址。

那麼,作為個技術人,我不禁想問:「騰訊,你想幹什麼?!」 同時建議已經使用過該模塊的用戶盡快更改您的 Google 帳號密碼,並檢查 Gmail 過濾器中有無可疑的項目。

PS,這次的 WebQQ2.0 放棄了 YUI,使用了名為 Jet 的 JavaScript 框架,對其感興趣的可以關注。

UPDATE

* 該 URL 在 Firefox 中也已被人舉報為惡意網站
* 該 Gmail 應用已經被撤下,對應的 JS 文件也已被刪除

-- EOF --

本文留言

近期讀者推薦