真凭实据 钓鱼WIFI还是UC产品漏洞?
昨天发布的“初级黑客试验盗取'用户名密码'”教程里,仅使用了UC的浏览器,今日看到UC的声明讲到被抹黑,作为一名国人,当然更希望用民族品牌的浏览器,不过UC直接跳过显然存在的技术问题,升级到市场竞争问题,个人认为值得商榷。
为此,本人用同样的方法,将市场上大部分手机浏览器,如:Android系统自带浏览器、欧朋、QQ、360一一试过,用同样的抓图结果,来让大家明白,这实际上确实是一个UC独有的明显漏洞(详见后面其它浏览器被抓取图的情况),需要真正UC重视起来,为民族品牌争口气。
同时,我也将这件事情的核心原理说明如下,供其它技术控们指正。事实上,目前主流浏览器均使用Https的加密传输方式,Https是Http下加入SSL层,是安全的加密方式,而http是明文传送的,会被获取、监听。普通直连型的浏览器是无法抓取https协议的;而云端加速的浏览器作为一个中转代理,在用户从客户端输入用户名和密码这一登录过程中,需要将从客户端至服务器的中转页面进行加密,无论是压缩传输还是不压缩的传播,而UC浏览器的根本问题是居然没有对https协议加密。
我想,这应该不是所谓国产软件和国外的差距的,UC公司的技术实力应该是可以开发出SSL加、解密的,目前来看只是态度问题罢了。所有,和一个贴子一样,奉劝所有曾在UCWEB的“安全连接”中输入过重要帐户的密码的各位,尽快修改,以防万一。
当然,如果你所使用的浏览器讲自己是真正支持SSL的浏览器,不妨优先试试(关于SSL,感兴趣的人,可以上网查一下)。
以下是各款浏览器被抓取的包的呈现图,乱码的说明是经过加密处理的。当然,如果有人讲被抓获的HTTPS,只要有私钥也能破解其内容,但这个难度相当大了,不是一般技术机构能搞掂的,所以说,对于大量的https数据加密解密虽然会耗费很多时间,但其仍然是目前最为主要的保密方式。
Android默认浏览器(无HTTP/HTTPS数据),和Safari一样是原生浏览器,不会出现上述情况,故本人未做截图。如果有兴趣,大家也可以去试试。
360浏览器截图(360浏览器1.6.1)
说明:普通模式、省流量模式,无HTTP/HTTPS数据
豚浏览器截图(海豚浏览器7.2.1)
说明:压缩浏览器模式转到http://gate.baidu.com/?original=https%3A%2F%2Fwww.gmail.com%2F后无法访问,普通浏览模式,有单个API页面请求,和Gmail无关,,无Gmail相关的HTTP/HTTPS数据。
遨游浏览器截图(遨游浏览器2.4.5Build2810)
说明:省流模式使用百度页面转码服务转到百度后无法访问,普通浏览模式,无HTTP/HTTPS数据。
欧朋浏览器截图(欧朋浏览器6.5.28115)
说明:未找到相关云中转设置,无HTTP/HTTPS数据
QQ浏览器截图1(QQ浏览器3.0Build0240)
QQ浏览器截图2(QQ浏览器3.0Build0240)
QQ浏览器截图3(QQ浏览器3.0Build0240)
说明:云中转开启能够截取到HTTP请求,但比较安全,无明文账号、密码等信息。云中转关闭无HTTP/HTTPS数据。
UC浏览器截图1
UC浏览器截图2( UC8.2.2.135)
说明:云端加速开启能够截取到HTTP请求,能够获取到Gmail明文用户名及明文密码。测试时间:2012年2月21日中午13:24:59截图表明UC服务器使用格林尼治时间(和北京时间差8小时)
Opera浏览器截图(OperaMobile浏览器11.50.ADR-1202011015)
说明:截取到安全证书请求,无Gmail页面相关的HTTP/HTTPS数据。
天天浏览器截图(天天浏览器2.3.1)
说明:云加速模式,无HTTP/HTTPS数据,互联网模式,无HTTP/HTTPS数据。
百度浏览器截图(百度浏览器1.0.4.12(极速内核))
说明:云端加速开启/关闭,无HTTP/HTTPS数据。
Firefox截图(Firefox10.0.1FennecAndroid版)
说明:未找到相关云中转设置,无HTTP数据。
除UC和QQ外,其他浏览器均抓取不到HTTP数据,不会发生泄密情况。QQ抓到的数据是无明文密码的,而UC如图所示,是对账号密码信息进行明文传输的。
测试地址说明:
httpS://www.gmail.com的账号登录页面HTTPS://accounts.google.com/ServiceLogin,怀疑Gmail使用明文密码的人是在怀疑世界最顶尖IT企业工程师们的智商。
为此,本人用同样的方法,将市场上大部分手机浏览器,如:Android系统自带浏览器、欧朋、QQ、360一一试过,用同样的抓图结果,来让大家明白,这实际上确实是一个UC独有的明显漏洞(详见后面其它浏览器被抓取图的情况),需要真正UC重视起来,为民族品牌争口气。
同时,我也将这件事情的核心原理说明如下,供其它技术控们指正。事实上,目前主流浏览器均使用Https的加密传输方式,Https是Http下加入SSL层,是安全的加密方式,而http是明文传送的,会被获取、监听。普通直连型的浏览器是无法抓取https协议的;而云端加速的浏览器作为一个中转代理,在用户从客户端输入用户名和密码这一登录过程中,需要将从客户端至服务器的中转页面进行加密,无论是压缩传输还是不压缩的传播,而UC浏览器的根本问题是居然没有对https协议加密。
我想,这应该不是所谓国产软件和国外的差距的,UC公司的技术实力应该是可以开发出SSL加、解密的,目前来看只是态度问题罢了。所有,和一个贴子一样,奉劝所有曾在UCWEB的“安全连接”中输入过重要帐户的密码的各位,尽快修改,以防万一。
当然,如果你所使用的浏览器讲自己是真正支持SSL的浏览器,不妨优先试试(关于SSL,感兴趣的人,可以上网查一下)。
以下是各款浏览器被抓取的包的呈现图,乱码的说明是经过加密处理的。当然,如果有人讲被抓获的HTTPS,只要有私钥也能破解其内容,但这个难度相当大了,不是一般技术机构能搞掂的,所以说,对于大量的https数据加密解密虽然会耗费很多时间,但其仍然是目前最为主要的保密方式。
Android默认浏览器(无HTTP/HTTPS数据),和Safari一样是原生浏览器,不会出现上述情况,故本人未做截图。如果有兴趣,大家也可以去试试。
360浏览器截图(360浏览器1.6.1)
说明:普通模式、省流量模式,无HTTP/HTTPS数据
豚浏览器截图(海豚浏览器7.2.1)
说明:压缩浏览器模式转到http://gate.baidu.com/?original=https%3A%2F%2Fwww.gmail.com%2F后无法访问,普通浏览模式,有单个API页面请求,和Gmail无关,,无Gmail相关的HTTP/HTTPS数据。
遨游浏览器截图(遨游浏览器2.4.5Build2810)
说明:省流模式使用百度页面转码服务转到百度后无法访问,普通浏览模式,无HTTP/HTTPS数据。
欧朋浏览器截图(欧朋浏览器6.5.28115)
说明:未找到相关云中转设置,无HTTP/HTTPS数据
QQ浏览器截图1(QQ浏览器3.0Build0240)
QQ浏览器截图2(QQ浏览器3.0Build0240)
QQ浏览器截图3(QQ浏览器3.0Build0240)
说明:云中转开启能够截取到HTTP请求,但比较安全,无明文账号、密码等信息。云中转关闭无HTTP/HTTPS数据。
UC浏览器截图1
UC浏览器截图2( UC8.2.2.135)
说明:云端加速开启能够截取到HTTP请求,能够获取到Gmail明文用户名及明文密码。测试时间:2012年2月21日中午13:24:59截图表明UC服务器使用格林尼治时间(和北京时间差8小时)
Opera浏览器截图(OperaMobile浏览器11.50.ADR-1202011015)
说明:截取到安全证书请求,无Gmail页面相关的HTTP/HTTPS数据。
天天浏览器截图(天天浏览器2.3.1)
说明:云加速模式,无HTTP/HTTPS数据,互联网模式,无HTTP/HTTPS数据。
百度浏览器截图(百度浏览器1.0.4.12(极速内核))
说明:云端加速开启/关闭,无HTTP/HTTPS数据。
Firefox截图(Firefox10.0.1FennecAndroid版)
说明:未找到相关云中转设置,无HTTP数据。
除UC和QQ外,其他浏览器均抓取不到HTTP数据,不会发生泄密情况。QQ抓到的数据是无明文密码的,而UC如图所示,是对账号密码信息进行明文传输的。
测试地址说明:
httpS://www.gmail.com的账号登录页面HTTPS://accounts.google.com/ServiceLogin,怀疑Gmail使用明文密码的人是在怀疑世界最顶尖IT企业工程师们的智商。
Opera浏览器截图(OperaMobile浏览器11.50.ADR-1202011015)
说明:截取到安全证书请求,无Gmail页面相关的HTTP/HTTPS数据。
天天浏览器截图(天天浏览器2.3.1)
说明:云加速模式,无HTTP/HTTPS数据,互联网模式,无HTTP/HTTPS数据。
百度浏览器截图(百度浏览器1.0.4.12(极速内核))
说明:云端加速开启/关闭,无HTTP/HTTPS数据。
Firefox截图(Firefox10.0.1FennecAndroid版)
说明:未找到相关云中转设置,无HTTP数据。
除UC和QQ外,其他浏览器均抓取不到HTTP数据,不会发生泄密情况。QQ抓到的数据是无明文密码的,而UC如图所示,是对账号密码信息进行明文传输的。
测试地址说明:
httpS://www.gmail.com的账号登录页面HTTPS://accounts.google.com/ServiceLogin,怀疑Gmail使用明文密码的人是在怀疑世界最顶尖IT企业工程师们的智商。
