域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

昨日外媒針對(duì)中國(guó)的移動(dòng)應(yīng)用UC瀏覽器發(fā)布了一篇質(zhì)疑報(bào)道，稱(chēng)其存在信息傳輸加密問(wèn)題。針對(duì)文中提到的信息傳輸加密風(fēng)險(xiǎn)，記者對(duì)百度、騰訊、阿里等互聯(lián)網(wǎng)公司的應(yīng)用進(jìn)行測(cè)試，結(jié)果發(fā)現(xiàn)該信息傳輸加密問(wèn)題并非個(gè)案。百度、騰訊等都存在明文傳輸或加密級(jí)別不夠等問(wèn)題。

也就是說(shuō)，國(guó)內(nèi)的互聯(lián)網(wǎng)廠(chǎng)商對(duì)于不涉及敏感信息的地理位置信息、設(shè)備信息等大多采用類(lèi)似的傳輸加密方式，該國(guó)外機(jī)構(gòu)的質(zhì)疑一定程度上給中國(guó)互聯(lián)網(wǎng)行業(yè)的移動(dòng)應(yīng)用信息傳輸加密通用標(biāo)準(zhǔn)提出了整體挑戰(zhàn)。

以下是兩大主流手機(jī)瀏覽器——騰訊手機(jī)QQ瀏覽器、百度手機(jī)瀏覽器的測(cè)試結(jié)果：

百度地圖僅做簡(jiǎn)單加密，騰訊地圖則根本未加密

百度瀏覽器的地圖第三方SDK使用的是百度地圖的網(wǎng)絡(luò)定位服務(wù)。百度地圖沒(méi)有采用安全級(jí)別更高的HTTPS加密方式，只是在本地利用一個(gè).so進(jìn)行加密，便可在虛擬機(jī)上利用這個(gè).so抓取Baidu的數(shù)據(jù),如下圖：

而QQ手機(jī)瀏覽器的地圖第三方SDK使用的是騰訊地圖的網(wǎng)絡(luò)定位服務(wù)，騰訊地圖在客戶(hù)端采用的是明文存儲(chǔ)(用戶(hù)信息、時(shí)間、定位信息、POI信息等)，情況，如下圖：

百度手機(jī)瀏覽器和QQ瀏覽器消息推送SDK都明文傳輸了IMEI等設(shè)備信息

針對(duì)手機(jī)瀏覽器使用的消息推送SDK進(jìn)行分析，我們也能看到QQ瀏覽器在運(yùn)行過(guò)程中將IMEI等設(shè)備信息明文傳輸?shù)椒?wù)器。

我們進(jìn)行簡(jiǎn)單分析：對(duì)QQ瀏覽器測(cè)試的機(jī)主的手機(jī)信息如下圖：

網(wǎng)絡(luò)劫包工具抓取的QQ瀏覽器與的通訊請(qǐng)求post的數(shù)據(jù)體，該數(shù)據(jù)經(jīng)過(guò)標(biāo)準(zhǔn)的url編碼，解碼后能清晰的看到用戶(hù)imei等信息被明文發(fā)送到服務(wù)器。

QQ瀏覽器在傳輸過(guò)程中，IMEI等設(shè)備信息被明文發(fā)送到服務(wù)器,如下圖：

同樣，在對(duì)百度手機(jī)瀏覽器使用的信息推送SDK進(jìn)行分析后發(fā)現(xiàn)，其傳輸數(shù)據(jù)針對(duì)IMEI等信息只是做了倒序處理，基本沒(méi)有加密作用。同時(shí)百度手機(jī)瀏覽器中用于URL的加密算法仍然是對(duì)稱(chēng)加密算法，是可以通過(guò)破解客戶(hù)端來(lái)得到解密算法還原加密信息的。

用于分析百度瀏覽器的手機(jī)信息見(jiàn)下圖：

通過(guò)網(wǎng)絡(luò)劫包工具抓取的百度瀏覽器與的通訊請(qǐng)求頭發(fā)現(xiàn)，其POST的數(shù)據(jù)體雖然是加密的數(shù)據(jù)，但進(jìn)行簡(jiǎn)單解密之后發(fā)現(xiàn)只是對(duì)關(guān)鍵信息做了一個(gè)倒序的處理，如下圖：

而且這個(gè)通訊請(qǐng)求得到的結(jié)果，是以明文回傳的用戶(hù)地址信息，如下圖：

手機(jī)百度瀏覽器、QQ瀏覽器的搜索關(guān)鍵詞請(qǐng)求也都是明文傳輸

同時(shí)，記者對(duì)手機(jī)QQ瀏覽器、手機(jī)百度瀏覽器以及其默認(rèn)使用的搜狗搜索和百度搜索的搜索關(guān)鍵詞傳輸也進(jìn)行了測(cè)試，結(jié)果發(fā)現(xiàn)搜索請(qǐng)求均采用了明文傳輸?shù)姆绞健?/p>

手機(jī)QQ瀏覽器，默認(rèn)使用搜狗搜索，在請(qǐng)求頭里出現(xiàn)了搜索詞，見(jiàn)下圖：

手機(jī)百度瀏覽器，默認(rèn)使用百度搜索，在請(qǐng)求頭里出現(xiàn)了搜索詞，見(jiàn)下圖：

注：

針對(duì)此次國(guó)外人權(quán)機(jī)構(gòu)提出的國(guó)內(nèi)移動(dòng)應(yīng)用信息傳輸加密風(fēng)險(xiǎn)，是指中國(guó)主流的移動(dòng)應(yīng)用在使用一些第三方應(yīng)用的SDK時(shí)，在涉及傳輸一些不敏感的地理信息及設(shè)備相關(guān)信息時(shí)，加密級(jí)別不夠高，存在被攻破風(fēng)險(xiǎn)。

國(guó)內(nèi)應(yīng)用針對(duì)非敏感類(lèi)信息基本未使用非對(duì)稱(chēng)加密算法(HTTPS),而是使用對(duì)稱(chēng)加密算法進(jìn)行數(shù)據(jù)傳輸，當(dāng)SDK被人逆向分析就會(huì)導(dǎo)致密鑰泄漏。

IT耳朵微信號(hào)：erduomi

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！