上午在微信群里和朋友聊天的时候, 无意发现了一个 QQ 的 PC 版 安全的漏洞, 感觉还是蛮严重的.

当时正在群里闲聊, 其中一位在群里发了 QQ 新闻链接, 内容大概是房价相关, 当时打开看了一下没在意就关了.

image.png

下午的时候想打开 QQ 邮箱, 输入mail.qq.com后, 一般页面上会显示二维码, 如果当前登录了 QQ 会就提示点击头像登录邮箱. 然而当时感觉头像不太对, 不过没在意就直接点了, 进去之后发现, 这就不是我的邮箱, 不是我的 QQ 号, 而是那个群里的同事的.

这是我同事的

而我头像是这个:

image.png

而且, 当时我没有开 QQ......

后来我退出登录, 之后刷新mail.qq.com并没有出现同事的那个授权信息. 于是在思考怎么还原现场呢?

于是仔细观察了一下那个连接

image.png

带有clientuid和clientkey, 应该这俩没跑了. 目测在分享链接的时候带出了用户信息. 但是, 一般来说打开新闻地址后就变成了普通连接, 并没有 id 信息.

在询问过那个同事整个流程之后, 发现, 应该是 PC 版的自带新闻mini浏览器的锅.

首先, 点开新闻

image.png

然后随便打开一个新闻, 应该都是这个mini客户端内置浏览器打开的, 然后右击地址拷贝

image.png

这么直接看的时候, 其实是很正常的新闻网页地址, 并没有uid之类的敏感信息, 但是怎么来的呢? 试试在地址栏上右击复制链接地址~
这时候, 带出的连接就是带uid和key的连接了......而这两个, 就是给浏览器授权当前用户信息的关键数据..............

这个锅, QQ 客户端, 特别是内置mini浏览器的没跑了

P.S. 这个 BUG 已经报给企鹅做安全的同学......虽然只获得了100个 QB 的奖励....