通过一封邮件偷走你的Apple ID (针对QQ邮箱)

admin 2022年1月14日08:06:24安全文章评论19 views875字阅读2分55秒阅读模式

本文系平安集团旗下银河实验室成员@天真无邪 分享,授权乌云安全中心发布,目前漏洞腾讯邮箱已经修复。

一个朋友丢了一台iPhone 6 Plus,用iCloud开启了丢失模式。直到某一天收了一封QQ邮件,几分钟后APPLE ID被修改了,丢失的iPhone 6 Plus从iCloud中移除了。

不是钓鱼邮件,也没有输入任何账户密码,就点了一个图片链接后,Apple ID密码就丢了。这勾起了我的好奇心,随即让朋友把邮件转发给我。

链接在浏览器最下边,太长了,直接查看框架代码。

通过一封邮件偷走你的Apple ID (针对QQ邮箱)

通过一封邮件偷走你的Apple ID (针对QQ邮箱)

开虚拟机,打开IE F12开发者工具,先看看情况。

通过一封邮件偷走你的Apple ID (针对QQ邮箱)

直接打开了广州日报大洋网,但域名是user1.cnuniversal.cn,地区是香港。查看F12抓取到的HTTP数据,原来是嵌入了2个iframe,第2个iframe是恶意网页。

通过一封邮件偷走你的Apple ID (针对QQ邮箱)

网页中只有一小段js脚本,功能是向腾讯企业邮箱:http://support.exmail.qq.com/cgi-bin/login发送一个POST请求,然后执行其自定义的一个JS脚本。JS脚本名用unicode编了下码,解码后如下图

通过一封邮件偷走你的Apple ID (针对QQ邮箱)

域名ylfu.pw和user1.cnuniversal.cn指向同一个IP。将这个JS脚本下载回来,出现了关键HTTP请求,都指向同一IP。

通过一封邮件偷走你的Apple ID (针对QQ邮箱)

真相原来就是通过搜索cookie,获取了QQ号和skey,利用skey登陆朋友QQ邮箱或其他QQ服务,然后进一步获取到了Apple ID密码。

后来通过和朋友仔细沟通,得知朋友的APPLE ID就是QQ邮箱,但密码不同。骗子通过skey登陆朋友QQ邮箱,然后发送重置APPLE ID密码的邮件,最后成功解锁了iCloud锁定的iPhone 6 Plus。

技术虽然是老技术,但对普通用户来说,确实没办法防御。腾讯蛋疼的skey机制,不管邮箱、空间还是相册,一律通杀,这个粒度确实太广了。

利用Apple ID的远程锁定进行诈骗最近呈爆发式啊,还没开启Apple ID二次验证的小伙伴,一定要去开启。

完整代码可点击原文查看

本文始发于微信公众号(乌云漏洞报告平台):通过一封邮件偷走你的Apple ID (针对QQ邮箱)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月14日08:06:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  通过一封邮件偷走你的Apple ID (针对QQ邮箱) http://cn-sec.com/archives/486111.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: