|
【PConline资讯】近日,专注曝光各厂商漏洞的乌云曝光了腾讯QQ的一个非常严重的漏洞,称腾讯QQ客户端存在一个严重安全缺陷—— 腾讯某接口未严格校验访问来源IP,导致ClientKEY访问保护被绕过,黑客只要能获得用户的ClientKEY,就能访问QQ邮箱、QQ空间、QQ相册等一切腾讯旗下的业务系统。 简单地说,就算你的QQ密码没有被盗,那么只要黑客能截获到你的ClientKEY,就能随意访问你的QQ邮箱、QQ空间和QQ相册等一系列软件。 如何防御QQ空间QQ相册邮箱等QQ业务不被远程登录? 一、只要电脑不被黑客控制,那理论上就不用担心这个问题。 二、可能你看到此文章时QQ已经修复了这个漏洞,也可能漏洞还存在…… 三、暂时不要在电脑上登录QQ客户端…… 乌云对此QQ漏洞的描述 研究过腾讯客户端安全的人都知道,ClientKEY对于QQ整体的业务系统来说,是一个全局的访问令牌,只要获取到用户的ClientKEY,就能访问所有腾讯旗下的业务系统。 曾经多个白帽子报道过腾讯单点登陆系统的漏洞,于是腾讯加了一个来源IP验证来减少客户端攻击带来的威胁。腾讯当时的想法可能是:“就算你能搞到我的KEY,不在一个内网,你也影响不到我!”。 如今,这个防御措施仅仅因为某个接口的疏忽,就被绕过了 WooYun是什么?WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”,在这个不做“云”不好意思和人家打招呼的时代,网络安全相关的,无论是技术还是思路都会有点黑色的感觉,所以自然出现了乌云。
|
正在阅读:腾讯QQ爆大漏洞 黑客可登录QQ邮箱等业务腾讯QQ爆大漏洞 黑客可登录QQ邮箱等业务
2014-03-24 10:11
出处:PConline原创
责任编辑:wujinlong
