V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ty89
V2EX  ›  Apple

QQ 信箱存在 xss 漏洞导致 apple id 被修改密码

  •  
  •   ty89 · 2016-11-05 23:59:24 +08:00 · 3345 次点击
    这是一个创建于 2945 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前不久 iphone 被偷了,于是我打开了丢失模式。最近一直收到假冒成 apple 的钓鱼邮件试图骗取我的 apple id 密码来解锁手机。

    之前的邮件都是通过假装成 icloud 的登陆界面来诱骗输入账号密码,于是没有上当。 但是今天收到的一封邮件最终还是击败了我:

    习惯性地点开链接之后不到一分钟,微信就收到提醒: qq 信箱在异地登陆。 在过了不到一分钟, mac 弹出提示需要重新输入 appid 密码

    到这个时候我才反应过来:刚刚打开的页面中带有 xss 攻击代码,导致对方得到了 qq 信箱的权限,然后再通过 qq 信箱重设我的 apple id 密码,最终将丢失的手机成功解绑。

    赶紧登陆到 qq 信箱,果然在垃圾箱里看到有 apple 发来的密码修改成功的提示邮件。

    这个故事告诉我们, qq 信箱有多安全。 得到几点教训:

    1. 重要的账号千万不要用 qq 信箱以及某些其他国产信箱
    2. 垃圾邮件还是不要手贱随便点
    3. 千万不要高估某些中国互联网巨头的技术实力
    19 条回复    2016-11-07 12:09:09 +08:00
    ty89
        1
    ty89  
    OP
       2016-11-06 00:06:28 +08:00
    随手一搜看到乌云在知乎的文章:只因一部 iPhone ,结果搅的国内邮箱血雨腥风! https://zhuanlan.zhihu.com/p/20635237
    shoaly
        2
    shoaly  
       2016-11-06 01:25:03 +08:00
    真的吗....看来钓鱼链接确实不能随便点.... 我一直以为 chrome 等流行浏览器 会过滤掉 xss
    phdyu
        3
    phdyu  
       2016-11-06 01:29:25 +08:00 via iPhone   ❤️ 1
    用 Firefox+ No script 插件 上墙内网站用
    ihacku
        4
    ihacku  
       2016-11-06 01:33:35 +08:00 via Android   ❤️ 1
    可以报告给 TSRC https://security.tencent.com 除了有奖金可以“挽回”点损失之外 修复之后还能避免别人被攻击
    huang5587783
        5
    huang5587783  
       2016-11-06 07:17:00 +08:00 via iPhone
    我老婆用的就是 QQ 邮箱,有点尴尬,
    RqPS6rhmP3Nyn3Tm
        6
    RqPS6rhmP3Nyn3Tm  
       2016-11-06 09:26:58 +08:00 via iPhone
    这都多久的新闻了,还没能修复吗?
    popok
        7
    popok  
       2016-11-06 10:46:56 +08:00 via iPhone
    不要什么都国外的好,至少 qq 邮箱还是挺好用的。
    一个产品被挖出漏洞也算正常, gmail 难道就没 xss 了吗?只要报告上去官方会及时修复就好。
    我觉得一般钓鱼邮件不需要点链接进去就能看出来是钓鱼的吧。
    zsj950618
        8
    zsj950618  
       2016-11-06 11:15:54 +08:00 via Android
    是你点开了垃圾邮件里的链接还是只是在 QQ 邮箱里查看了那封邮件?
    ty89
        9
    ty89  
    OP
       2016-11-06 11:35:59 +08:00
    @zsj950618
    垃圾邮件是发到 gmail 信箱的,点开之后很快就收到微信的推送,提醒异地登陆了信箱。
    ty89
        10
    ty89  
    OP
       2016-11-06 11:36:36 +08:00
    @shoaly
    然而我用的 safari
    ty89
        11
    ty89  
    OP
       2016-11-06 11:43:25 +08:00
    最新情况:
    刚刚检察信箱发现今天又发来了好几个钓鱼邮件:
    ![]( http://tyblog.qiniudn.com/16-11-6/45008817.jpg)

    正文里面忘了交代一点就是,我在收到邮箱异地登陆的提醒之后,马上给信箱设置了独立密码
    由此可以推断,对方虽然修改了 apple id 密码,但是可能由于操作上的时间差的关系,还没能成功解绑 apple id
    wclebb
        12
    wclebb  
       2016-11-06 12:29:36 +08:00
    乌云报道过这个,好像结果处理是厂家不予处理/无视,好像,反正就是 QQ 懒得管了。
    flycmd
        13
    flycmd  
       2016-11-06 19:10:12 +08:00
    两步验证, gmail 或者 hotmail 开两步。记得国外邮箱也要开两步验证, apple id 开两步验证。
    f0rger
        14
    f0rger  
       2016-11-07 09:21:21 +08:00 via iPhone
    @wclebb 求快照,如果是真的,安全问题都不处理,以后是不敢用了
    ty89
        15
    ty89  
    OP
       2016-11-07 10:17:19 +08:00
    @f0rger

    乌云在知乎上写过相关文章: https://zhuanlan.zhihu.com/p/20635237
    salary123
        16
    salary123  
       2016-11-07 10:23:44 +08:00
    以前好像看过。。漏洞还没修复么。。究竟是点击邮件,还是邮件里面的链接。。有时候还真是心存侥幸。会去点一下。
    liuhaige
        17
    liuhaige  
       2016-11-07 10:52:18 +08:00
    不是需要一张图片就够了?
    v3exad
        18
    v3exad  
       2016-11-07 11:02:37 +08:00
    我感觉是链接问题吧。。。
    monet1314
        19
    monet1314  
       2016-11-07 12:09:09 +08:00   ❤️ 2
    遇到过,不过设了一下 QQ 邮箱的单独密码,然后对方暴怒了~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2865 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 12:45 · PVG 20:45 · LAX 04:45 · JFK 07:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.