我们今早抢先报道了腾讯WebQQ 2.0的部分亮点,其精美的界面和丰富的应用程序接口让我们叹为观止,不过在我们试用期间,WebQQ 2.0出现了不止一次的断线情况,而在其中一次断线之后,我们重新登录WebQQ 2.0时发现了一个惊人的秘密。
断线后的WebQQ 2.0缺少了Gmail应用程序
从上图可以看出,腾讯WebQQ 2.0突然无故断线后,偷偷删去了原本默认摆放在WebQQ 2.0主界面上方QQ邮箱与QQ地图之间的Gmail应用程序入口。而且几分钟前还很安详地躺在WebQQ 2.0应用程序中心的Gamil,也非常离奇地失踪了。
在WebQQ 2.0的应用中心里也找不到Gmail的踪影了
用过WebQQ 2.0的朋友应该也能发现,在其提供的应用程序中绝大部分都是腾讯自己的出品,而Gamil在这样一堆腾讯出品的应用程序当中确实显得很显眼,但是为何腾讯会在开始时允许Gmail进入其应用程序中心,而后又180度的大转变,对Gmail“始乱终弃”呢?
背后的惊人秘密
有使用过WebQQ 2.0 Gmail应用程序的网友明确表示,WebQQ 2.0中的Gmail应用程序存在钓鱼的嫌疑!
当这位网友使用谷歌Chrome浏览器访问WebQQ 2.0的Gmail服务时,浏览器弹出安全提示该网页为诱骗网站。
浏览器安全提示
打开这个页面后,我们看到一个Gmail登录网页,但是细心观察这个页面的地址,大家就能发现这是一个基于web2.qq.com域名下的 https://web2.qq.com/cgi/gmail/gmail.html 的iFrame嵌套页面。而页面的形式与谷歌Gmail登录页面的风格非常相似,很容易就会让用户混淆觉得这就是谷歌自家的页面。
疑似钓鱼网站的WebQQ 2.0 Gmail登录页面
当这名网友查看这个页面的源代码后,发现整个页面并没有包含将数据提交到谷歌Gmail的任何痕迹。最后这名网友查看其相关的 gmail.js,发现其中有段代码为:
var option = {retype:3,callback:“parent.qqweb.app.gmail.getListMail”}; if (u != null && p != null) { option.u = u; // Google 帐户用户名 option.p = p; // Google 帐户密码 } formSend( GMAIL_SERVER_DOMAIN + “cgi/qqweb/gmail.do”,{method : “POST”, data : option} );
这段应该就是往 GMAIL_SERVER_DOMAIN 发送用户名和密码进行登录了,那么 GMAIL_SERVER_DOMAIN 的值是什么呢?就在本文件的第 14 行:
var GMAIL_SERVER_DOMAIN = 'https://web2.qq.com/';
也就是说,你的Gmail用户名和密码实际上是提交到了 https://web2.qq.com/cgi/qqweb/gmail.do 这个地址。这名网友极度怀疑用户发送到Gmail的帐户和密码信息其实是发送到了腾讯手上。这名网友呼吁已经使用过该模块的用户尽快更改自己的谷歌帐号密码,并检查Gmail过滤器中有无可疑的项目。
该js文件已经被删除
虽然WebQQ 2.0中的Gmail应用入口已经被撤下,对应的JS 文件也已被删除,但是相信很多网友都希望腾讯能站出来为这次的“Gmail事件”作出解释,让广大用户弄清真相。