用"网易邮件大师" 上 Google,还发现了个隐私泄露问题

2020-06-07 20:24:36 +08:00
 CCIEliu

故事是这样的。

很久没上谷歌邮箱了,想看下有没有远方的朋友发来问候.

听说“网易邮件大师”可以直收 gmail 邮件。引起了我的兴趣。

  1. 下载安装好 app 之后,发现不是直接填写 smtp+pop3 信息。
  2. 填写好 gmail 地址之后,点击下一步竟然打开了 google 的认证网页。
  3. 我怀疑网易反向代理了 gmail,如果能拿到这个地址就很刺激,以后就方便了。

于是:

  1. 电脑打开 Fidder,开 https 解密,自签了个证书。
  2. 手机设置代理到 Fidder
  3. 手机关掉 网易邮箱大师
  4. 重复登录 gmail 步骤
  5. 惊喜 发现竟然是个 http 代理,不是反向代理
  6. 我发现一些关键个人信息被发送到了网易 //好吧我承认网易的隐私条款我没看就点了同意

登录界面 点右下角 “隐私”

滑到最下面, 然后点左下角 Google

在 Google 上搜了下当前 IP,发现是 网易 HK 的服务器

继续探索

发现 一些个人信息,被 POST 到了网易服务器,包括 gmial 邮箱和手机 ID

这里发现了 网易的代理服务器地址、账号、密码、如下图

这个 proxy 的密码是通过 seed_base (其实就是当前的 unix 时间戳)计算出来的。

果断 打开 Chrome Proxy 插件,设置好地址,账号,密码

Google 秒开

gmail 秒开

这代理服务器只能访问 *.google.com *.gmail.com

如果你想用这个代理上其他不好的网站,别想了,无法访问。

6663 次点击
所在节点    全球工单系统
29 条回复
snw
2020-06-07 23:53:22 +08:00
不知道现在国行华为手机的 YouTube 等“快应用”是否是类似方法提供登陆的。
Junn
2020-06-08 00:09:18 +08:00
@Junn #20 补充一下,我觉得根本算不上漏洞,用户名和密码都是服务端返回的,每次都不同,只是可能过期时间比较长吧。即使没有添加 gmail 账户,也会用 example@gmail.com 去请求代理信息。

另外试了下这个代理,大多数 google 服务都可以用的,包括云盘。
油管就不用想了,上不了。
cnrting
2020-06-08 00:59:34 +08:00
楼主你真是个人才
ochatokori
2020-06-08 01:09:41 +08:00
这个 http 代理该不会是用 host 来判断是不是 google 的吧

那感觉还可以操作一下
9yu
2020-06-08 01:15:35 +08:00
人才
CCIEliu
2020-06-08 01:34:29 +08:00
@Junn 分析完全正确,请求 proxy 信息的时候 带着 mail 地址了,还有 token,每次请求回来都不一样,看上去 ttl 时间比较长,几天之前的 pwd 和 usr 都还能用。
hanqian
2020-06-08 02:09:58 +08:00
以前 MIUI 的邮箱也是这么干的,现在不行了
binux
2020-06-08 02:47:35 +08:00
@VYSE #9 我觉得有戏,代理可以 connect 请求,然后 Google 的 IP 又是通用的,connect 后改 host 到 appspot 就好了
maskerTUI
2020-06-08 12:20:48 +08:00
为什么网易的这个代理能做到秒开 google 呢

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/679483

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX