真凭实据 钓鱼WIFI还是UC产品漏洞?

楼主:woshilaotou2012 时间:2012-02-21 17:27:00 点击:5996 回复:31
脱水 打赏 看楼主 设置

字体:

边距:

背景:

还原:

昨天发布的“初级黑客试验盗取'用户名密码'”教程里,仅使用了UC的浏览器,今日看到UC的声明讲到被抹黑,作为一名国人,当然更希望用民族品牌的浏览器,不过UC直接跳过显然存在的技术问题,升级到市场竞争问题,个人认为值得商榷。

  为此,本人用同样的方法,将市场上大部分手机浏览器,如:Android系统自带浏览器、欧朋、QQ、360一一试过,用同样的抓图结果,来让大家明白,这实际上确实是一个UC独有的明显漏洞(详见后面其它浏览器被抓取图的情况),需要真正UC重视起来,为民族品牌争口气。

  同时,我也将这件事情的核心原理说明如下,供其它技术控们指正。事实上,目前主流浏览器均使用Https的加密传输方式,Https是Http下加入SSL层,是安全的加密方式,而http是明文传送的,会被获取、监听。普通直连型的浏览器是无法抓取https协议的;而云端加速的浏览器作为一个中转代理,在用户从客户端输入用户名和密码这一登录过程中,需要将从客户端至服务器的中转页面进行加密,无论是压缩传输还是不压缩的传播,而UC浏览器的根本问题是居然没有对https协议加密。

  我想,这应该不是所谓国产软件和国外的差距的,UC公司的技术实力应该是可以开发出SSL加、解密的,目前来看只是态度问题罢了。所有,和一个贴子一样,奉劝所有曾在UCWEB的“安全连接”中输入过重要帐户的密码的各位,尽快修改,以防万一。

  当然,如果你所使用的浏览器讲自己是真正支持SSL的浏览器,不妨优先试试(关于SSL,感兴趣的人,可以上网查一下)。

  以下是各款浏览器被抓取的包的呈现图,乱码的说明是经过加密处理的。当然,如果有人讲被抓获的HTTPS,只要有私钥也能破解其内容,但这个难度相当大了,不是一般技术机构能搞掂的,所以说,对于大量的https数据加密解密虽然会耗费很多时间,但其仍然是目前最为主要的保密方式。

  Android默认浏览器(无HTTP/HTTPS数据),和Safari一样是原生浏览器,不会出现上述情况,故本人未做截图。如果有兴趣,大家也可以去试试。

  

  360浏览器截图(360浏览器1.6.1)

  说明:普通模式、省流量模式,无HTTP/HTTPS数据



  


  豚浏览器截图(海豚浏览器7.2.1)

  说明:压缩浏览器模式转到http://gate.baidu.com/?original=https%3A%2F%2Fwww.gmail.com%2F后无法访问,普通浏览模式,有单个API页面请求,和Gmail无关,,无Gmail相关的HTTP/HTTPS数据。


  

  遨游浏览器截图(遨游浏览器2.4.5Build2810)

  说明:省流模式使用百度页面转码服务转到百度后无法访问,普通浏览模式,无HTTP/HTTPS数据。


  

  欧朋浏览器截图(欧朋浏览器6.5.28115)

  说明:未找到相关云中转设置,无HTTP/HTTPS数据


  

  QQ浏览器截图1(QQ浏览器3.0Build0240)

  

  QQ浏览器截图2(QQ浏览器3.0Build0240)

  

  QQ浏览器截图3(QQ浏览器3.0Build0240)

  说明:云中转开启能够截取到HTTP请求,但比较安全,无明文账号、密码等信息。云中转关闭无HTTP/HTTPS数据。

  

  UC浏览器截图1

  

  UC浏览器截图2( UC8.2.2.135)

  说明:云端加速开启能够截取到HTTP请求,能够获取到Gmail明文用户名及明文密码。测试时间:2012年2月21日中午13:24:59截图表明UC服务器使用格林尼治时间(和北京时间差8小时)

  

  Opera浏览器截图(OperaMobile浏览器11.50.ADR-1202011015)

  说明:截取到安全证书请求,无Gmail页面相关的HTTP/HTTPS数据。

  

  天天浏览器截图(天天浏览器2.3.1)

  说明:云加速模式,无HTTP/HTTPS数据,互联网模式,无HTTP/HTTPS数据。

  

  百度浏览器截图(百度浏览器1.0.4.12(极速内核))

  说明:云端加速开启/关闭,无HTTP/HTTPS数据。

  

  Firefox截图(Firefox10.0.1FennecAndroid版)


  说明:未找到相关云中转设置,无HTTP数据。

  除UC和QQ外,其他浏览器均抓取不到HTTP数据,不会发生泄密情况。QQ抓到的数据是无明文密码的,而UC如图所示,是对账号密码信息进行明文传输的。

  测试地址说明:
  httpS://www.gmail.com的账号登录页面HTTPS://accounts.google.com/ServiceLogin,怀疑Gmail使用明文密码的人是在怀疑世界最顶尖IT企业工程师们的智商。


打赏

0 点赞

主帖获得的天涯分:0
举报 | | 楼主
楼主发言:1次 发图:0张 | 更多 |
楼主woshilaotou2012 时间:2012-02-21 17:28:27
  
  
  QQ浏览器截图2(QQ浏览器3.0Build0240)
  

  QQ浏览器截图3(QQ浏览器3.0Build0240)

  说明:云中转开启能够截取到HTTP请求,但比较安全,无明文账号、密码等信息。云中转关闭无HTTP/HTTPS数据。

  
  UC浏览器截图1
  

  UC浏览器截图2( UC8.2.2.135)

  说明:云端加速开启能够截取到HTTP请求,能够获取到Gmail明文用户名及明文密码。测试时间:2012年2月21日中午13:24:59截图表明UC服务器使用格林尼治时间(和北京时间差8小时)
楼主woshilaotou2012 时间:2012-02-21 17:29:54
  
  Opera浏览器截图(OperaMobile浏览器11.50.ADR-1202011015)

  说明:截取到安全证书请求,无Gmail页面相关的HTTP/HTTPS数据。

  
  天天浏览器截图(天天浏览器2.3.1)

  说明:云加速模式,无HTTP/HTTPS数据,互联网模式,无HTTP/HTTPS数据。

  
  百度浏览器截图(百度浏览器1.0.4.12(极速内核))

  说明:云端加速开启/关闭,无HTTP/HTTPS数据。

  
  Firefox截图(Firefox10.0.1FennecAndroid版)


  说明:未找到相关云中转设置,无HTTP数据。

  除UC和QQ外,其他浏览器均抓取不到HTTP数据,不会发生泄密情况。QQ抓到的数据是无明文密码的,而UC如图所示,是对账号密码信息进行明文传输的。

  测试地址说明:
  httpS://www.gmail.com的账号登录页面HTTPS://accounts.google.com/ServiceLogin,怀疑Gmail使用明文密码的人是在怀疑世界最顶尖IT企业工程师们的智商。
作者:youaideren12 时间:2012-02-21 17:49:48
  求自察,求不回避问题。这是UC改善自己产品的好机会。

  另:求置顶,让更多人关注此事,推动此事。
楼主woshilaotou2012 时间:2012-02-21 18:34:39
  靠,又没有人顶……
作者:youaideren12 时间:2012-02-21 18:39:12
  求给力顶贴,求更多人转载,求昨日同等待遇。
作者:youaideren12 时间:2012-02-21 18:41:27
  楼上是啥意思呀,本来就是做广告嘛,还说不是。
  专业点好不好。
  你不是UC派来的吧。
作者:youaideren12 时间:2012-02-21 18:50:37
  求给力顶贴。
作者:爱客黑 时间:2012-02-21 21:13:00
  
  楼主说话不太靠谱啊,UC木有问题啊~~~~刚刚我也手痒痒抓了一把包,不过没有发现楼主所述的问题。UC貌似也用https,上图看看
作者:爱客黑 时间:2012-02-21 21:14:13
  刚刚是 输入网址请求www.gmail.com2
作者:爱客黑 时间:2012-02-21 21:15:25
  
  

  google跳转进入https的登录2
作者:爱客黑 时间:2012-02-21 21:33:29
  

  后续流程进行https通讯,无法抓取明文记录2
作者:爱客黑 时间:2012-02-21 21:36:39
  
  

  登陆时的请求数据2,,,,,,,,,,,,,

  ,LZ的脑子被驴踢了,UC木有问题撒
作者:guyaozong 时间:2012-02-21 22:57:08
  对使用UC的人们表示遗憾
  赶紧换吧。


  我是个性签名,想禁用或更改请到google商店的安装页面仔细阅读使用说明,以便更改或取消
  上天涯社区,用Chrome浏览器扩展 天涯助手,谁用谁知道!
作者:trsundayy 时间:2012-02-22 10:02:29
  某些楼的傻×,分不清直连和中转?
作者:slayercat 时间:2012-02-22 10:02:48
  好吧。。。发帖没想到这一点。
作者:我说的都是错的x 时间:2012-02-22 10:44:09
  这个属于设计缺陷吧。其实估计程序不严谨的设计范畴。

  仿佛,你沾好的信件,UC如同邮差,没有封口涂胶水,当明信片给寄出去了。

作者:我说的都是错的x 时间:2012-02-22 10:56:36
  这个越来越像个公关稿了。哈哈。

  不过属实的公关稿。
楼主woshilaotou2012 时间:2012-02-22 10:59:40
  首先说,这位这爱客黑的兄弟,你测试的环境是啥样的呢?如果你的手机是iphone上装了UC,那实际上,用的是原生浏览器,自然是测不出来的。

  其次说,并不是所有的环境都能够测得到,比如一些加了密的环境。

  欢迎更多人来测。

  月光已经测了,http://weibo.com/1494759712/y6zdSqjv9,可以参考这个吧。

  另外,UC差不多已经承认错误了,请查看他们的官方说明。
作者:爱客黑 时间:2012-02-22 16:55:38
  刚刚在微博看到了UC的反馈了,貌似已经处理了。不管啥产品,都会存在BOG,关键是问题怎么面对。UC的态度还算可以。希望认真做产品,别像***那样忽悠P民。http://weibo.com/1106587564/y6Dmu14W4
作者:ailixiaoran 时间:2012-02-23 08:23:34
  期待高手同聚一堂啊
作者:一衣落雪 时间:2012-02-23 13:58:48
  苍天有眼啊,让我在优生之年得以观
作者:不让你哭丫丫 时间:2012-02-23 16:22:13
  这个文章像是从其他地方复制过来的八、、才会有这么多的问题、、现在什么没有问题、重要的是 做好防范措施。
作者:nydogwood 时间:2012-02-23 16:31:34
  什么系统的UC会出这样的问题?
  
作者:nydogwood 时间:2012-02-23 16:31:59
  什么系统的UC会出这样的问题?
  
作者:王竟宇 时间:2012-02-25 09:04:23
  五毛你还没有闹够????想盗QQ浏览器还不是可以?
  
发表回复

请遵守天涯社区公约言论规则,不得违反国家法律法规