腾讯QQ自爆重大漏洞黑客可登录QQ邮箱等业务

【PConline资讯】近日，专注于揭露各家厂商漏洞的吴云曝光了腾讯QQ一个非常严重的漏洞，称腾讯QQ客户端存在严重安全漏洞——腾讯某接口没有严格验证访问源IP，导致ClientKEY访问保护被绕过。 黑客只要获得用户的ClientKEY，就可以访问QQ邮箱、Q空间、QQ相册等腾讯所有业务系统。

简单的说，即使你的QQ密码没有被盗qq邮箱买的比特币，黑客只要能截获你的ClientKEYqq邮箱买的比特币，就可以随意访问你的QQ邮箱、QQ空间、QQ相册等一系列软件。

如何防止QQ空间、QQ相册、邮箱等QQ业务被远程登录？

1、只要电脑没有被黑客控制，理论上是不用担心这个问题的。

2、可能QQ在你看这篇文章的时候已经修复了这个漏洞，或者漏洞依然存在……

3、暂时不要在电脑上登录QQ客户端...

吴云对这个QQ漏洞的描述

研究过腾讯客户端安全的都知道，ClientKEY是QQ整体业务系统的全局访问令牌。 只要获取到用户的ClientKEY，就可以访问腾讯的所有业务系统。

腾讯单点登录系统跨域劫持漏洞

腾讯单点登录系统跨域劫持漏洞2

很多白帽子反映了腾讯单点登录系统的漏洞，所以腾讯增加了源IP验证来减少客户端攻击的威胁。 腾讯当时的想法可能是：“就算你能拿到我的KEY，不在同一个内网，你也影响不了我！”。

今天，仅仅因为一个界面的疏忽，这种防御就被绕过了

宇云是什么？

WooYun 是厂商和安全研究人员之间的安全问题反馈平台。 为互联网安全研究人员提供一个公益、学习、交流、研究的平台，同时对安全问题进行反馈和跟进。 它的名字来源于现在网上流行的“云”。 在这个没有“云”就不好意思跟人打招呼的时代，网络安全相关，无论是技术还是思维，都会觉得有些阴暗，于是乌云自然而然出现。