2022-06-29 06:12:23 来源 : 三易在线
尽管6月26日是一个平平无奇的日子,但对于许多人来说,这或许是个让他们难忘的一天。因为在6月26日这天夜间,QQ发生了大规模盗号事件,部分用户的QQ号因此被盗,并会在群聊或私聊中发送不良信息,甚至无论对方是谁都照发不误,也直接让被盗号的倒霉蛋陷入“社死”状态。
作为国内市场最为知名的社交平台之一,大规模出现盗号自然也引发了如潮般的讨论。而关于QQ号到底是怎么被盗的,网友们也脑洞大开,并且由于中招的群体中有诸多都是学生,再联想到此前曾有一款相关应用被曝疑似出现数据库泄露,所以有猜测是其密码泄露导致的“撞库攻击”,但这一推测很快也被官方否认。
(资料图片)
一天后,腾讯方面也做出了回应,并表示,“QQ安全团队高度重视并立即展开调查,发现主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告”。也就是说,QQ方面将大规模盗号事件的缘由,指向了部分用户扫描了被伪造的二维码、导致被盗号。
关于这一解释暂时先放在一边,先来说说为什么会发生在用户本人在线的情况下还能发送信息,甚至出现了一边被盗号者发送不良信息、一边是用户向对方道歉的“奇景”。
由于常规意义上的盗号,通常是在拿到了密码、并绕过设备锁后,直接登用户的QQ,再“洗劫”QQ号中的资产。然而,此次大规模盗号却“只”发送了不良信息,因此也使得此次事件与一般意义上的盗号有所不同。
其实,要解释用户在线却只能眼睁睁看着自己发送不良信息,只需弄清QQ发送消息的原理即可。事实上,包括QQ在内的APP想要实现各种不同的功能,都是需要调用程序内不同的API接口实现,有的API接口管登录、有的API负责发消息、有的API则能实现加好友,其中登录API负责的是判断“你是你”,然后会下放用于鉴权的cookies,用这个cookies就可以调用QQ这个应用中的其他接口,来实现用户所需要的功能。
此次事件的情况则是,黑产团队通过伪造二维码的方式获得了属于用户的cookies,直接用这个cookies就能调用负责发送消息的API,根本不需要登录就能实现发送信息的效果。其实此前就曾有过,在网站上通过QQ进行第三方登录就出现过被跨站脚本攻击拿到cookies,然后用户的QQ在手机上登录却自动给其他人发消息的爆料。
但不同于跨站脚本攻击,此次被盗号的QQ用户实际上是被钓鱼攻击了,用户原本以为扫描的QQ方面提供的扫码登录,但实际上扫的却是伪造的二维码。据部分被盗号者反馈集中在网吧登录WeGame,也正好解释了伪造这一二维码的可行性,毕竟这类公共设备一向是盗号事件的主要地点,同时也洗脱了某学习类APP的相关传言。
然而,QQ方面给出的解释,却可能暴露了目前二维码登录这一模式存在基础漏洞,即借助二维码来欺骗毫无戒心的用户,这种行为在海外则被称为“Quishing”。
由于二维码本身具有唯一性(即可变性),所以也给予了其出色的防伪特性,但这改变不了二维码本身只是数据的载体,它所指向的内容却是用户不可控的。从本质上来说,二维码与一串网址其实是一样的,如果二维码是指向一个包含木马或病毒的网址,那么自然就有了可能导致中毒或被盗号。
事实上,QR-code(二维码)技术在被发明后,没有立即得到大规模应用最为核心的问题,就是安全性存疑。由于二维码被设计出来就是给计算机而非人类看的,只有通过相应的解码程序才能解析出二维码中包含的信息,这对于非专业人士来说是完全的黑箱。毕竟分辨钓鱼网站时尚可直接对比网址,但二维码又要如何进行比对呢。
从本质上来说,扫码登录与账号密码其实几乎是一回事,但得益于多年来的网络安全教育,大多数用户在输入密码时往往会比较谨慎,但扫码时则会相对比较随意。毕竟大家肯定面对路边来源不明的二维码有警惕,但是对于腾讯等大型互联网企业提供的二维码就几乎不会有太多担忧了,这归根结底无疑是互联网企业用信誉进行背书的结果。
此次QQ大规模盗号事件最为核心的问题,就是用户相信了“腾讯”给出的二维码,但用户也是无辜的,因为并没能力去分辨这个二维码到底是出自哪里。所以未来在用手机扫码时,建议大家还是多留个心眼,非必要尽量不使用扫码登录,相较之下使用动态的手机验证码或类似网易将军令这种多因素认证工具,才更为安全。