6 月 26 号晚上,大量 QQ 被盗的新闻一度冲上微博热搜。很多人反映自己的 QQ 不受控制地发送大量违规图片。
6 月 27 号早上,腾讯 QQ 官方下场发了公告。
公告总结来说就是“用户扫了钓鱼二维码,和腾讯无关”。
到底和腾讯有关吗?我们来分析分析。
扫码登录先看 QQ 扫描登录的流程,大致分为三个阶段:
- 二维码展示阶段
- 扫码阶段
- 登录确认阶段
image-20220629010438425
先简单过一下登录流程:
- 用户打开电脑 QQ。
- 电脑 QQ 显示一个二维码。
- 用户拿起手机扫码。
- 电脑 QQ 显示“扫码成功,请用 QQ 手机版确认”。
- 手机 QQ 显示“您正在一台新设备登录 QQ”,让用户选择请选择登录还是拒绝。
- 用户选择登录,电脑 QQ 登录成功,整个流程结束。
根据用户的行为画出整个时序图:
这套扫码登录的流程在业界被广泛地使用,也足以证明其合理性。
过程一共有四个参与者,分别是:用户、手机、电脑、腾讯 QQ 服务器。
黑客无法伪造用户、手机、和腾讯 QQ 服务器这三个参与者,但是可以在电脑端上动手脚,这次的盗号事件,正是如此。
到底是怎么攻击的呢?我们往下看。
黑客如何盗号根据我了解到的一些信息,我大胆猜测一下盗号的过程:
网吧里面的 WeGame 被黑客注入了,然后黑客用手表 QQ 的登录二维码伪装成 WeGame 的登录二维码,劫持了用户的授权信息,黑客利用授权信息和腾讯服务器交互,批量发送图片。
按照我的推论,还原一下犯罪现场:
首先,黑客入侵一个大的网吧管理服务商,在 WeGame 这个软件上面注入一层钓鱼入口。
然后这个服务商下的网吧下载了这个被注入的 WeGame。
用户去网吧上网,打开 WeGame 的时候同时也打开了钓鱼入口。