QQ 信箱存在 xss 漏洞导致 apple id 被修改密码

2016-11-05 23:59:24 +08:00
 ty89

前不久 iphone 被偷了,于是我打开了丢失模式。最近一直收到假冒成 apple 的钓鱼邮件试图骗取我的 apple id 密码来解锁手机。

之前的邮件都是通过假装成 icloud 的登陆界面来诱骗输入账号密码,于是没有上当。 但是今天收到的一封邮件最终还是击败了我:

习惯性地点开链接之后不到一分钟,微信就收到提醒: qq 信箱在异地登陆。 在过了不到一分钟, mac 弹出提示需要重新输入 appid 密码

到这个时候我才反应过来:刚刚打开的页面中带有 xss 攻击代码,导致对方得到了 qq 信箱的权限,然后再通过 qq 信箱重设我的 apple id 密码,最终将丢失的手机成功解绑。

赶紧登陆到 qq 信箱,果然在垃圾箱里看到有 apple 发来的密码修改成功的提示邮件。

这个故事告诉我们, qq 信箱有多安全。 得到几点教训:

  1. 重要的账号千万不要用 qq 信箱以及某些其他国产信箱
  2. 垃圾邮件还是不要手贱随便点
  3. 千万不要高估某些中国互联网巨头的技术实力
3362 次点击
所在节点    Apple
19 条回复
ty89
2016-11-06 00:06:28 +08:00
随手一搜看到乌云在知乎的文章:只因一部 iPhone ,结果搅的国内邮箱血雨腥风! https://zhuanlan.zhihu.com/p/20635237
shoaly
2016-11-06 01:25:03 +08:00
真的吗....看来钓鱼链接确实不能随便点.... 我一直以为 chrome 等流行浏览器 会过滤掉 xss
phdyu
2016-11-06 01:29:25 +08:00
用 Firefox+ No script 插件 上墙内网站用
ihacku
2016-11-06 01:33:35 +08:00
可以报告给 TSRC https://security.tencent.com 除了有奖金可以“挽回”点损失之外 修复之后还能避免别人被攻击
huang5587783
2016-11-06 07:17:00 +08:00
我老婆用的就是 QQ 邮箱,有点尴尬,
RqPS6rhmP3Nyn3Tm
2016-11-06 09:26:58 +08:00
这都多久的新闻了,还没能修复吗?
popok
2016-11-06 10:46:56 +08:00
不要什么都国外的好,至少 qq 邮箱还是挺好用的。
一个产品被挖出漏洞也算正常, gmail 难道就没 xss 了吗?只要报告上去官方会及时修复就好。
我觉得一般钓鱼邮件不需要点链接进去就能看出来是钓鱼的吧。
zsj950618
2016-11-06 11:15:54 +08:00
是你点开了垃圾邮件里的链接还是只是在 QQ 邮箱里查看了那封邮件?
ty89
2016-11-06 11:35:59 +08:00
@zsj950618
垃圾邮件是发到 gmail 信箱的,点开之后很快就收到微信的推送,提醒异地登陆了信箱。
ty89
2016-11-06 11:36:36 +08:00
@shoaly
然而我用的 safari
ty89
2016-11-06 11:43:25 +08:00
最新情况:
刚刚检察信箱发现今天又发来了好几个钓鱼邮件:
![]( http://tyblog.qiniudn.com/16-11-6/45008817.jpg)

正文里面忘了交代一点就是,我在收到邮箱异地登陆的提醒之后,马上给信箱设置了独立密码
由此可以推断,对方虽然修改了 apple id 密码,但是可能由于操作上的时间差的关系,还没能成功解绑 apple id
wclebb
2016-11-06 12:29:36 +08:00
乌云报道过这个,好像结果处理是厂家不予处理/无视,好像,反正就是 QQ 懒得管了。
flycmd
2016-11-06 19:10:12 +08:00
两步验证, gmail 或者 hotmail 开两步。记得国外邮箱也要开两步验证, apple id 开两步验证。
f0rger
2016-11-07 09:21:21 +08:00
@wclebb 求快照,如果是真的,安全问题都不处理,以后是不敢用了
ty89
2016-11-07 10:17:19 +08:00
@f0rger

乌云在知乎上写过相关文章: https://zhuanlan.zhihu.com/p/20635237
salary123
2016-11-07 10:23:44 +08:00
以前好像看过。。漏洞还没修复么。。究竟是点击邮件,还是邮件里面的链接。。有时候还真是心存侥幸。会去点一下。
liuhaige
2016-11-07 10:52:18 +08:00
不是需要一张图片就够了?
v3exad
2016-11-07 11:02:37 +08:00
我感觉是链接问题吧。。。
monet1314
2016-11-07 12:09:09 +08:00
遇到过,不过设了一下 QQ 邮箱的单独密码,然后对方暴怒了~

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/318393

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX