“不要和陌生人说话”

今天的话题是：网上QQ聊天之不要和陌生人说话，嗯……准确说应该是不要添加任何陌生的QQ好友。虽然这些QQ陌生人不会骂你，不会在你打Dota的时候发视频弹你，也不会在你网购漂亮衣服鞋子时给你意见。但是！Ta们可能会短期甚至长期地夺走你的QQ号码。

利用的“盗号”手段正是我们既熟悉又陌生的“QQ帐号密码申诉功能”。为什么说既熟悉又陌生？因为此类攻击手段其实一直有人研究与利用，通过解读腾讯的判定规则进行突破，然后腾讯可能又进行一些判断与限制，如同太极一样的半推半让的较量中，中间细节不得而知，只知道很多用户因此导致QQ被黑。而不明真相的媒体也大多将攻击行为归与用户计算机上的病毒木马，结果查毒杀毒也无法解决根本问题，哎这都是泪啊……

近期，身边的一些安全专家QQ陆续被黑，乌云君不仅后背发凉，他们都是乌云平台上可为人师的安全研究者，对个人信息的保护与安全习惯都是要强于普通网民的，究竟是什么样的漏洞可以将他们频繁拉下马？没错，就是这个另安全人员也闻风丧胆的“QQ帐号密码申诉”功能。不废话了，乌云白帽的QQ被攻击后第一时间分析了攻击流程，其中发现了一些安全隐患，再次为各位敲个警钟，做好防范。

大概过程如下：

1，攻击前夕大量陌生QQ好友请求通过

2，通过这些陌生人后，一些号码会偶尔发来一些信息，比如“在吗？”然后就消失，伪造一种好友并且经常沟通的场景

3，此类帐号既然被“好友协助帐号申诉”机制所认可，这样的帐号越多，成功几率也就越高

4，当然，这种有针对性的攻击还会需求其他的用户信息，比如姓名，常用IP或密码等，在如今这个数据泄漏严重的时代，想获取并非难事，比如利用代理绕过常用地一些限制

5，更详细的细节还请点击文章最后的【阅读原文】，或者利用乌云微信关键字【腾讯申诉】或【QQ申诉】进行其他漏洞细节的查看

6，根据与小伙伴的沟通，乌云平台某位被他人恶意申诉QQ的用户正在提交第N次的合法申诉，帐号仍未成功取回，试问这个功能究竟是给谁准备的？换句话说为何真实场景下真正的QQ所属者反而无法申诉回自己的QQ？

乌云白帽给大家的一些建议：

• 陌生人不要加，哪怕只是单向好友，也不要加……如果是自己的朋友要社，那只能认栽，没别的。
• 如果密保被重置，请让朋友投诉你的QQ，暂时冻结你的QQ使用权，可以拖延下时间，以免出更大的问题。
• 尽量不要用QQ邮箱做你的密保邮箱，我乌云账号被沦陷，就是个好例子。
• 不管是谁的问题，是不是问题，乌云最终的目的是希望尽量少的用户受到影响，所以这里警告大家请不要随便通过陌生人的好友申请。

后记：

因为在乌云上类似的漏洞被腾讯忽略，而乌云君确实想知道用户的QQ帐号是否安全，所以利用互联网上历史QQ申诉漏洞中提到的信息点进行尝试（目标乌云上某位答应可以测试的白帽），就在写这篇微信的时候，结果出来了，大家自行揣摩吧。

稿源：乌云漏洞平台