用"网易邮件大师" 上 Google,还发现了个隐私泄露问题

2020-06-07 20:24:36 +08:00
 CCIEliu

故事是这样的。

很久没上谷歌邮箱了,想看下有没有远方的朋友发来问候.

听说“网易邮件大师”可以直收 gmail 邮件。引起了我的兴趣。

  1. 下载安装好 app 之后,发现不是直接填写 smtp+pop3 信息。
  2. 填写好 gmail 地址之后,点击下一步竟然打开了 google 的认证网页。
  3. 我怀疑网易反向代理了 gmail,如果能拿到这个地址就很刺激,以后就方便了。

于是:

  1. 电脑打开 Fidder,开 https 解密,自签了个证书。
  2. 手机设置代理到 Fidder
  3. 手机关掉 网易邮箱大师
  4. 重复登录 gmail 步骤
  5. 惊喜 发现竟然是个 http 代理,不是反向代理
  6. 我发现一些关键个人信息被发送到了网易 //好吧我承认网易的隐私条款我没看就点了同意

登录界面 点右下角 “隐私”

滑到最下面, 然后点左下角 Google

在 Google 上搜了下当前 IP,发现是 网易 HK 的服务器

继续探索

发现 一些个人信息,被 POST 到了网易服务器,包括 gmial 邮箱和手机 ID

这里发现了 网易的代理服务器地址、账号、密码、如下图

这个 proxy 的密码是通过 seed_base (其实就是当前的 unix 时间戳)计算出来的。

果断 打开 Chrome Proxy 插件,设置好地址,账号,密码

Google 秒开

gmail 秒开

这代理服务器只能访问 *.google.com *.gmail.com

如果你想用这个代理上其他不好的网站,别想了,无法访问。

6715 次点击
所在节点    全球工单系统
29 条回复
happyboy8909
2020-06-07 20:33:53 +08:00
厉害了
luhe
2020-06-07 20:37:22 +08:00
QQ 邮箱也是这么干的,楼主可以试试 QQ 邮箱也是 http 么
CCIEliu
2020-06-07 20:40:17 +08:00
@luhe 还真测试 qq 邮箱 app 了。 发现 qq 邮箱 app 现在已经不能直接开 gmail 了,显示网络问题。
designer
2020-06-07 20:42:28 +08:00
厉害 收藏了
luhe
2020-06-07 20:50:02 +08:00
@CCIEliu 啊这,前两天我还用过,这就不行了吗
laydown
2020-06-07 20:51:07 +08:00
哦,牛皮~
CEBBCAT
2020-06-07 20:55:56 +08:00
HTTP 代理可拍,但我想可能又有程序员要加班了(代理泄漏、滥用)
lengyihan
2020-06-07 20:58:55 +08:00
@luhe 我今天换手机安装这个也不行了,之前那个手机上还能用。
VYSE
2020-06-07 21:04:34 +08:00
appspot 可以访问的话就可以上 gae proxy 访问任意网站了
Ultraman
2020-06-07 21:05:44 +08:00
网易:我太难了。
luhe
2020-06-07 21:08:21 +08:00
话说回来,最近 appstore 国区把 gmail 下架了,所以 QQ 邮箱把这个功能关了?
EIlenZe
2020-06-07 21:13:07 +08:00
天呐
CCIEliu
2020-06-07 21:21:10 +08:00
@VYSE 不要说这些违法乱纪的事情哈哈哈哈
beastk
2020-06-07 21:49:33 +08:00
一直都可以,貌似那个 ip 会随机变
QMore
2020-06-07 21:51:33 +08:00
以前觉得网易的邮箱做的不错,后来发现被爆“撞库”,多次隐私泄露。网上搜出来自己密码,辛亏泄漏的是很久不用的老密码。
zy20031012
2020-06-07 22:05:21 +08:00
厉害
zy20031012
2020-06-07 22:07:53 +08:00
可以去网易提交漏洞报告,貌似有奖励: https://mp.weixin.qq.com/s/t7lw6y-P_smF0JbK9JhB9g
gaint97
2020-06-07 22:09:37 +08:00
我用的 qq 邮箱 也发现了 可以直接上 gmail
CCIEliu
2020-06-07 22:19:37 +08:00
@zy20031012 已经提交。多谢提醒。
Junn
2020-06-07 23:39:02 +08:00
mac 版抓包看了下,打开(没有添加 Gmail 账号) App,就会请求接口返回代理的域名用户名和密
试了下,确实秒开 google 和 gmail,其他的上不去

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/679483

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX