这个钓鱼入口输入账号密码显示登录错误。
于是,用户只能扫码登录,用户一扫描,看到的却是登录手表 QQ。
用户感到疑惑,但是也没有想太多,点了确定登录。
授权成功,黑客拿到授权信息。
整个过程黑客并没有直接盗取到你的账号密码,只是通过“钓鱼”拿到了你的授权信息。
而腾讯的服务器,只认授权信息不认人,只要授权信息是对的,不管谁去请求,腾讯都会放行。
就这样,黑客得到了服务器的信任,让你的账号批量发送图片。
回答按照上面的推论,会有几个问题:
1、为什么没有把被盗号的人挤下线。
上面提到了,黑客拿到的是手表 QQ 的授权信息,手表QQ 和手机 QQ 以及电脑 QQ 都不冲突。
也就是说,即使你手机 QQ 在线,黑客也能发送消息,甚至你一边撤回,黑客还能一边继续发图片。
2、类似大量盗号事件是不是第一次?
不是。早在五月份就有类似的案例,但看起来腾讯并没有重视。
3、为什么 QQ 经常被盗,但是微信没有这种情况?
QQ 诞生于 1999 年,属于远古时代的产物,历史遗留问题比较多。
微信诞生于 2011 年,跳过了 QQ 踩过的一些坑,权限把控得也更严格。
虽然功能上微信没有 QQ 强大,但安全方面一直做得比 QQ 要好。毕竟安全是微信和支付宝这种带有金融属性的软件的根基,安全做不好是玩不下去的。
4、为什么没有扫过任何码 QQ 也被盗了?为什么三百年没用过的 QQ 也被盗了?为什么有些去世的人的 QQ 也被盗了?
如果真的有这种情况,那我也没法解释,只能让腾讯来解释了。
一些其他看法上面是我根据网上的信息推测处理的,网络上还有其他的观点。
比较主流的是 “学习通信息撞库” 和 “js 劫取授权信息” 。
学习通撞库这种说法的核心是:学习通泄漏了用户的信息,然后有些用户学习通的密码和 QQ 密码设置的是一样,间接导致用户 QQ 密码泄漏。
我个人觉得这种可能性很低。
为什么呢?
第一,腾讯和学习通这种体量的 APP 肯定会对用户密码脱敏加密处理,并不能直接撞库攻击。
第二,就算破解了加密方式,拿到了用户的密码,也很难直接登录用户的 QQ。因为在登录的时候,会触发新设备登录验证,如果拿不到用户的登录验证码,是没有办法登录成功的。
JS 取授权信息根据酷安大佬@JiuXia2025 的说法,此次大量 QQ 被盗是因为用户点了某个链接,然后被 js 劫取了浏览器里面的 Cookie,黑客从中拿到了能控制 QQ 账号的 key,从而批量发送图片。
对于大佬的实力,我不怀疑。
对于大佬的观点,我保持一个怀疑的态度。
第一,我不相信这么多年过去了,腾讯还没有对 js 攻击做防护。
第二,我不认为在 QQ 里面点开一个链接,QQ 会给浏览器授权具备“发送消息”的权限。如果没有“发送消息”的权限,就算浏览器的授权信息算被 js 劫取也没有任何意义。
总结总结一下我的观点就是:
一个有钱人家里钱太多了总是被偷,于是这个有钱人花重金打造了世界上最牛的门,开门需要经过二十四道机关和五次密码确认,最后还需要验证指纹和人脸。
即使这样,这个有钱人的钱还是被偷了。
为什么还会被偷呢?
记者采访了这个有钱人。
这个有钱人只说了一句话:一切责任尽在用户。
写在最后吃瓜归吃瓜,还是要搞技术的,我预估扫码登录的流程会成为近期热门面试题。
为什么呢?
第一,可以验证候选人对技术有没有敏锐的捕捉力。
第二,可以很好地延伸到其他技术点。比如:
- Redis 过期时间怎么设置?项目中有用到过吗?
- Token、Cookie、Session 三者有什么区别?
- 为什么要轮询二维码状态?用 Http 长连接不行吗?用 Websocket 不行吗?
- 还有哪些常见的攻击手段?应对措施分别是什么?
- 了解 OAuth2.0 和 JWT 吗?和你说的扫码登录有什么区别和联系?
你看,这一套组合拳下来是不是行云流水、一气呵成?
所以啊,还是得继续学啊!
毕竟,宇宙的尽头是卷王,你不学习他称王。
参考资料以上所有推论仅代表个人观点,属于个人猜想,素材全部来自于网上。
一切以官方公告为准,不信谣不传谣。
- https://www.apereo.org/projects/cas
- https://juejin.cn/post/6844904111398191117
