很久木有打开过QQ的安全功能了,刚才无意中随便点了几下,居然发现QQ2012正式版可能存在泄漏账户登录密钥(skey)的风险,漏洞不知算上算不上,但是这个“点”一旦被恶意利用,就会给自己的QQ帐号安全带来很大的隐患!
一:操作详细步骤:
1、通过QQ主面板下方的安全图标(圈子和查找的左边)打开腾讯QQ的安全沟通界面,在进入“安全软件”选项;
2、然后就会看到“立即下载”的链接(菲菲博客使用的是最新的QQ2012正式版5058),点击下载后,看到有什么发现有木有?没错,你的QQ帐号识别密钥skey码竟然出现在了浏览器的地址栏上了,同时出现下载文件的提示。
3、果断输入到QQ skey利用工具上,一测试果然没问题直接无视密码直接突破进入。。
二:漏洞总结和修复:
一个提供下载安全防护板QQ的链接,没有必要用到skey验证,更不能直接显示在URL上,如果实在需要验证QQ帐号的合法性,建议使用和其他自动登录方式一致的更安全的clientkey码来验证(这个实现起来可能会有难度,相信QQ的工程师也评估过)。
简单看了一下,整个QQ安全功能的网页框架内都是直接调用skey来实现同步网页登录的。最后初步判定QQ客户端中内嵌的网页框架的外部超链接都是通过带上skey核心参数,再GET到QQ登录服务器(ptlogin2.qq.com)来实现同步登录功能的,只是一般网页的URL跳转很快,不容易发现而已。但是在上面的操作步骤中的“下载”链接显然是暴露了用户的机密验证信息。
鉴于以上分析,虽然此处暴露点并不会直接对QQ用户的帐号造成严重威胁,但是菲菲还是建议大家多长个心眼(小心内鬼,你懂得),挂着QQ离开电脑前可以将QQ锁定掉即可。【菲菲博客·原创文章,转载请注明出处!】
(原创文章版权所有,如需转载请注明原文链接!)