栏目导航

news

皮肤杀菌止痒

主页 > 皮肤杀菌止痒 >

专业分析远离社死!如何看待 QQ 出现大面积盗号?

发布日期:2022-07-07 00:05   来源:未知   阅读:

  濒死体验:死亡是我们想象的那个样子吗?。近日,qq 群内出现了大量的广告信息,不少人员当场社死。针对此次事件,腾讯官方也给了相应的回复,今天我们想和大家聊聊我们的 qq 是如何 被盗 的。

  事实上在 5 月 25 日前后,就已经有大量用户被盗号了,可以说是这次大规模盗号事件的前兆,当时还有朋友问到我这个事情:

  很多人在传这次事件是跟最近学习通数据泄漏以及所谓的 0day 漏洞有关,综合腾讯给的官方回复以及个人的经验分析,事实上这次事件和两者都没有太大关系,我们将在下文依次解答说明。

  要分析这次盗号事件,有个重要的概念是在本次事件中什么叫做 qq 号被盗 了,以及攻击者是如何批量发送黄图消息的。

  在很多人的传统意识里,qq 号被盗就是密码被泄漏了,犯罪分子通过账号和密码登录了被盗的 qq 号,然后通过客户端发送了消息。事实上在大多数场景下被盗号只是因为 clientkey 被泄漏了, 盗号者 根本没有登陆过你的 qq(或者说根本没办法直接登录 qq 主体),只是用 clientkey 相关的接口发送了群消息而已。

  Clientkey 大家可以简单理解为 qq 客户端的一个私有 key,是 qq 第三方登陆的核心,几乎所有的 qq 应用都可以通过这个 key 登陆,包括 qq 邮箱、qq 游戏、qq 空间、qq 音乐、qq 视频、微云、财付通等等。以 qq 邮箱为例,我们在登录了 qq 客户端(windows 版)的前提下抓一个三方登录的包,在包里就可以看到有关 clientkey 的生成过程:

  那么从哪些途径可以获取这个 clientkey 呢?这个大家就自行脑补了,早些年有些 xss 的方式,但后面都被官方修复了

  此次事件学习通大概率不会背锅,当然不排除通过泄漏的账号撞库后用某些接口获取了大量的 clientkey,这个就有待官方求证了。

  另外就是 0day 漏洞的说法了,通过网上传的一些漏洞视频来看,这些所谓的 0day 漏洞实际上就是对 clientkey 的利用,视频里的 httpkey 实际上就是 clientkey。

  如下图所示,这个获取这个 clientkey 的请求实际上是本地触发的:

  造成此次事件的原因猜测可能有两个,一是如前文所说某些网吧或者公共设备被人提前植入了 agent,agent 能够监听本地的数据请求并发送给云端。这样即便用户登录的是正常的 qq 第三方应用,如腾讯游戏等,那么劫持到的 client 也可发送给到云端,朋友圈里一些中招的案例也能印证这个事实:

  另一个就是官方给的解释了,通过访问了攻击者恶意构造的假的二维码实现了访问登录,当然这个登录大概率也是基于 clientkey 的登录而不是 qq 主体的登录(qq 主体有登录设备和 ip 限制),只是不需要在客户端再安装 agent 了。但这种说法站不住脚的就是为何大量的用户能在短时间内访问到了假的二维码,而且为了保证不失效这个二维码还一定是要动态刷新的,这里就有待腾讯官方进一步确认了。澳门六和开奖现场直播