0

就因为QQ登录二维码,全网发生了大规模的社死……

 2 months ago
source link: https://www.cnbeta.com/articles/tech/1286393.htm
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

就因为QQ登录二维码,全网发生了大规模的社死……

2022年06月29日 09:39 9332 次阅读 稿源:差评 2 条评论

一觉醒来,发现自己的QQ给爸妈、同学甚至是暗恋对象发了一堆黄图,以至于被举报、被封,被人挂上QQ空间,这样的社死现场,可能就是很多人昨天早上正在经历的绝望。

8b60-32818d759af36e6298e019eec4b90ae9.png

更严重的,还得在一身清白的情况下,手持身份证拍照,写下一份检讨书,告诉腾讯: “ 我以后再也不敢群发色图盗号了,求求你把号还给我吧。 ”

6cb6-5fbb40120d029602cd571676dd1b2b67.png

就连前段时间因为信息泄露社死的学习通,也被拉出来鞭了一轮尸,又社死了一次。

6cfe-36c1903500bbd26b0ffe49da56fee9e6.png
93c1-7c1dc010b600000db31c1f7625229907.png

可能是大家的猜测越来越离谱,甚至有人怀疑企鹅监守自盗,眼看火要烧到自己屁股,QQ终于坐不住了。

53df-2242be050e4334f86ebe0b3ddd1afafe.png

主要原因是 “ 扫描了假的游戏登录二维码授权登录造成的 ” 。

7d1a-834327bc25ca609622ddf4744d1a6dd1.png

根据网上网友的爆料,这一波大部分被盗网友都有过在网吧登录QQ相关的二维码账号的经历。

不是吧阿sir,以前人们都说在网吧不要输入账号密码,因为这样容易被记录下来。

但现在你跟我说最安全的扫二维码也会被盗,我是真的会谢。。。

这。。我还能愉快地在陌生的地方登录账号么?人与人之间的信任呢?

哎,啥也别说了。我们来研究下这种二维码中招的原理吧。

打开软件,拿手机App扫描二维码,点击确定登录,这个流程是不是十分简单?

但事实上,这里面涉及到了两层身份认证。

当你扫描二维码的时候,相当于告诉了服务器:我是谁;而点击确认之后,就是在和服务器确认,我真的是我。

为了安全起见,这两个步骤中任意一个拖太久了,系统就会判定你在骗它,让二维码失效,得重新自证一遍才能完成登录。

4c10-84bfb51ab6b4cec0aacfc07b29ab9501.png

实时覆盖你电脑的二维码的话。。。

那么你以为你扫描的是网吧电脑的登录二维码,实际上你扫描的是黑客电脑上的登录二维码。

发现没有?这中间是有个时间差的,只要黑客趁登录二维码没有失效,把自己的二维码发给了你,扫完之后你又没有仔细看,顺手点了个确认。

直接在黑客的电脑上进行一波裸奔 ▼

d79a-69df06635ad3f6333c487451a79616b0.png

还有网友分析,你登录的二维码有可能是你QQ手表端的登录二维码,而并不是电脑QQ。

一名知乎程序员的被盗血泪史 ▼

7f99-35ca19697d77633e93695efbfde6eec5.png

因为QQ手表是能和电脑端、手机端并行在线的,一旦黑客登录了你的QQ手表,能更方便黑客长时间的操控。

fe10-e5d9b6daface810fcd9fb9cd760570f3.gif

在这个界面里,并没有提示新设备登录的警告,只会在顶部出现一个登录QQ手表的提示,确实很容易忽略。

一旦点击了允许登录,那对方就可以拿着你的号在QQ手表端为所欲为了。

QQ 手表登录后的界面 ▼

e04c-9a1bd9bdf4eb41bcd9e1f8b89a03feba.jpg

当然,QQ也给大家提供了不少的账号防护工具,比如设备锁,人脸识别等等。

39aa-b51088263e38ec5494366a0739612897.png

但有网友反馈,就算开所有功能,账号依旧被盗了。

9c2c-202ca6ea51954f7b546dc783299d2bf8.png

我们能做的可能除了祈祷QQ的风控做好外,只能多留个心眼,小心各种坑,保住自己的 “ 身家清白 ” 了。

其实在这次腾讯回复之前,网友们也有不少猜测。其中认同度比较高的,是十分经典的链接偷家操作。

这个操作可能有不少差友都中过。它实际上是利用了一种叫CSRF( 跨站请求伪造 )的漏洞。

简单来说,这种攻击不会让你输入敏感信息,也不会直接获取你的账号密码,但在你点击连接之后,攻击者能够仿造你的cookie,让平台以为他就是你本人。

基本上你登录了之后能做的事,攻击者都能做到。

3605-226a482ebe4927acf070a3c088bd1a51.png

只不过在18年的时候Google、阿里这些大厂就开始着手解决了,现在这个操作差不多是时代的眼泪了。

从最初的通过记录用户键盘的输入信息,到放入插件,贴牌,还有隐形木马。总有一不小心会中招的时候。

37d8-244bd74e8ad98f6948ca5aeded0f370f.png

曾经有网友说,QQ防止被盗的头号方法就是用二维码扫描,而结果大家也都看到了。

确实,QQ登录不像微信那么反人类,在新手机上登录的时候需要手机验证码、二维码,消息提醒,有各种路障。

我们在享受到二维码登录便利的同时,黑客也享受到了相同的待遇。

尤其大家没有过小心二维码登录的意识,很多人看都不看登录确认页面的内容,直接手快点击确认。

f9ea-f6e8091d4c5c7984aae5ca70c5c34d87.jpg

现在的黑客,在登录了你的账后以后,也不再像以前一样,想着直接把QQ占为己有。

而是专门利用冻结账号前的时间群发广告诈骗信息来钓鱼。

5247-2c7b8bf02e87ea5b55e338215c95f943.png

而他们实现这一目的的犯罪成本极低,根本不需要知道你的密码!

a1dd-950db67116caebff7e56ad31f43bdbcd.png

所以不要在陌生地方登录自己的账号,貌似是断绝一切被盗的终极秘法。

最后,对于那些想解封的差友们,如果不是特别着急的话,差评君觉得可以等一波官方自动解封,至少可以逃避手持身份证拍照的二次社死。

撰文:萤火  编辑:结界 &面线  封面:萱萱

图片、资料来源:

微博 @ 腾讯 [email protected] 羲灬 @ 追梦家李筱茶 @kkura 的小仙爷 @[email protected]@ 秦不工 @AlpacaKun

B站掌控安全学院:QQ登陆机制 - 新型二维码钓鱼

知乎 -Snowfalke:简单认识CSRF

52e2ee2c05105cd.png
r2.gif

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK