手机QQ离奇被盗，百思不得其解，特来求助

辽宁大连~~小海

擦，看到这【本人登陆提示账号被冻结，改密码解冻后发现异地登陆提示为重庆和北京，。。。。。。。。。。】我明确的告诉你，你是自己登录人家的钓鱼网站的吧？？？是不是傻?看到这样的信息你还上？我收到无数类型的，视而不见，最多告诉那个朋友他的号被盗了

呃，不知道大家为什么首先想到的是钓鱼这种没什么技术含量的东西。如果真这么简单也就不用说是离奇了。目前个人怀疑是这样：1.中间人攻击，我们校方客户端需要使用qq登陆，不排除明文密码被拦截的可能。2.社工库，本人密码16位，但含有自己的生日，存在被猜解的可能。3.手机中毒，可能性很小，但凡事无绝对。PS:本人不傻，起码安全习惯比较好。资讯了下业内人士，他表示这可能是某些信息泄露，登陆账号被记录卖出，作为广告信使用，行情是10元500个。至于密码是如何泄露的，他怀疑我使用了某些第三方客户端或汉化版应用。这个因为我手里没有APK分析工具暂时分析不了。再插一句，被推广的QQ全是等级超过30的大号，怀疑为黑色产业链，本人已举报。

realraul

有的网页挂马，并不用下载到你机器上，一点就盗了

OAuth协议返回给接通微博登陆或者QQ登陆的网站的登陆数据，只有一串可以叫做openid的字符串，并没有QQ账号，当然你可以拿着openid等数据继续通过腾讯的OpenAPI继续获取更多资料（JSON格式），例如昵称什么的，但是还是没有QQ号。例如get_user_info的API，只能取得如下数据。
{

"ret":0,

"msg":"",

"nickname":"Peter",

"figureurl":"http://qzapp.qlogo.cn/qzapp/111111/942FEA70050EEAFBD4DCE2C1FC775E56/30",

"figureurl_1":"http://qzapp.qlogo.cn/qzapp/111111/942FEA70050EEAFBD4DCE2C1FC775E56/50",

"figureurl_2":"http://qzapp.qlogo.cn/qzapp/111111/942FEA70050EEAFBD4DCE2C1FC775E56/100",

"figureurl_qq_1":"http://q.qlogo.cn/qqapp/100312990/DE1931D5330620DBD07FB4A5422917B6/40",

"figureurl_qq_2":"http://q.qlogo.cn/qqapp/100312990/DE1931D5330620DBD07FB4A5422917B6/100",

"gender":"男",

"is_yellow_vip":"1",

"vip":"1",

"yellow_vip_level":"7",

"level":"7",

"is_yellow_year_vip":"1"

}
基本只有昵称、各种尺寸的头像的URL，性别，黄钻相关的信息。
openid每个用户各不相同，有一一对应的关系。但是同一用户，不同的appid获取到的OpenID是不同。因此是无法通过openid逆向工程得出QQ号的。
而且这个功能需要腾讯审核，虽然可以动手脚，但保存qq和密码估计不行。

关于中间人攻击，开发组的哥们告诉我他们的登陆也是直接调用腾讯的api。不过还有个思路，就是重定向，使得我对指定网页的页面请求重定向至钓鱼网页，但这要做到毫无违和感太难。我访问百度，结果跳转到卡饭，难道我看不出问题？页面做得逆天的除外，不过我号一没等级二没钱，这又何必。PS:号已找回，我不是强迫症，我只是好奇

thelord

校方客户端需要使用qq登陆? 感觉这个最可疑，可以抓包看看
OAuth 应该没这么大 bug