當(dāng)前位置:首頁 >  科技 >  數(shù)碼 >  正文

獨(dú)家評測:中國互聯(lián)網(wǎng)產(chǎn)品均存在信息傳輸加密問題

 2015-05-22 10:27  來源: 用戶投稿   我來投稿 撤稿糾錯

  域名預(yù)訂/競價(jià),好“米”不錯過

昨日外媒針對中國的移動應(yīng)用UC瀏覽器發(fā)布了一篇質(zhì)疑報(bào)道,稱其存在信息傳輸加密問題。針對文中提到的信息傳輸加密風(fēng)險(xiǎn),記者對百度、騰訊、阿里等互聯(lián)網(wǎng)公司的應(yīng)用進(jìn)行測試,結(jié)果發(fā)現(xiàn)該信息傳輸加密問題并非個案。百度、騰訊等都存在明文傳輸或加密級別不夠等問題。

也就是說,國內(nèi)的互聯(lián)網(wǎng)廠商對于不涉及敏感信息的地理位置信息、設(shè)備信息等大多采用類似的傳輸加密方式,該國外機(jī)構(gòu)的質(zhì)疑一定程度上給中國互聯(lián)網(wǎng)行業(yè)的移動應(yīng)用信息傳輸加密通用標(biāo)準(zhǔn)提出了整體挑戰(zhàn)。

以下是兩大主流手機(jī)瀏覽器——騰訊手機(jī)QQ瀏覽器、百度手機(jī)瀏覽器的測試結(jié)果:

百度地圖僅做簡單加密,騰訊地圖則根本未加密

百度瀏覽器的地圖第三方SDK使用的是百度地圖的網(wǎng)絡(luò)定位服務(wù)。百度地圖沒有采用安全級別更高的HTTPS加密方式,只是在本地利用一個.so進(jìn)行加密,便可在虛擬機(jī)上利用這個.so抓取Baidu的數(shù)據(jù),如下圖:

而QQ手機(jī)瀏覽器的地圖第三方SDK使用的是騰訊地圖的網(wǎng)絡(luò)定位服務(wù),騰訊地圖在客戶端采用的是明文存儲(用戶信息、時(shí)間、定位信息、POI信息等),情況,如下圖:

百度手機(jī)瀏覽器和QQ瀏覽器消息推送SDK都明文傳輸了IMEI等設(shè)備信息

針對手機(jī)瀏覽器使用的消息推送SDK進(jìn)行分析,我們也能看到QQ瀏覽器在運(yùn)行過程中將IMEI等設(shè)備信息明文傳輸?shù)椒?wù)器。

我們進(jìn)行簡單分析:對QQ瀏覽器測試的機(jī)主的手機(jī)信息如下圖:

網(wǎng)絡(luò)劫包工具抓取的QQ瀏覽器與的通訊請求post的數(shù)據(jù)體,該數(shù)據(jù)經(jīng)過標(biāo)準(zhǔn)的url編碼,解碼后能清晰的看到用戶imei等信息被明文發(fā)送到服務(wù)器。

QQ瀏覽器在傳輸過程中,IMEI等設(shè)備信息被明文發(fā)送到服務(wù)器,如下圖:

同樣,在對百度手機(jī)瀏覽器使用的信息推送SDK進(jìn)行分析后發(fā)現(xiàn),其傳輸數(shù)據(jù)針對IMEI等信息只是做了倒序處理,基本沒有加密作用。同時(shí)百度手機(jī)瀏覽器中用于URL的加密算法仍然是對稱加密算法,是可以通過破解客戶端來得到解密算法還原加密信息的。

用于分析百度瀏覽器的手機(jī)信息見下圖:

通過網(wǎng)絡(luò)劫包工具抓取的百度瀏覽器與的通訊請求頭發(fā)現(xiàn),其POST的數(shù)據(jù)體雖然是加密的數(shù)據(jù),但進(jìn)行簡單解密之后發(fā)現(xiàn)只是對關(guān)鍵信息做了一個倒序的處理,如下圖:

而且這個通訊請求得到的結(jié)果,是以明文回傳的用戶地址信息,如下圖:

手機(jī)百度瀏覽器、QQ瀏覽器的搜索關(guān)鍵詞請求也都是明文傳輸

同時(shí),記者對手機(jī)QQ瀏覽器、手機(jī)百度瀏覽器以及其默認(rèn)使用的搜狗搜索和百度搜索的搜索關(guān)鍵詞傳輸也進(jìn)行了測試,結(jié)果發(fā)現(xiàn)搜索請求均采用了明文傳輸?shù)姆绞健?/p>

手機(jī)QQ瀏覽器,默認(rèn)使用搜狗搜索,在請求頭里出現(xiàn)了搜索詞,見下圖:

手機(jī)百度瀏覽器,默認(rèn)使用百度搜索,在請求頭里出現(xiàn)了搜索詞,見下圖:

注:

針對此次國外人權(quán)機(jī)構(gòu)提出的國內(nèi)移動應(yīng)用信息傳輸加密風(fēng)險(xiǎn),是指中國主流的移動應(yīng)用在使用一些第三方應(yīng)用的SDK時(shí),在涉及傳輸一些不敏感的地理信息及設(shè)備相關(guān)信息時(shí),加密級別不夠高,存在被攻破風(fēng)險(xiǎn)。

國內(nèi)應(yīng)用針對非敏感類信息基本未使用非對稱加密算法(HTTPS),而是使用對稱加密算法進(jìn)行數(shù)據(jù)傳輸,當(dāng)SDK被人逆向分析就會導(dǎo)致密鑰泄漏。

IT耳朵微信號:erduomi

申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
中國互聯(lián)網(wǎng)

相關(guān)文章

加載更多

熱門排行

信息推薦