去年底爆發的互聯網泄密風波正擴散至移動互聯網領域,日前,一位自稱初級黑客的網友在天涯網發布《有圖有真相 你還敢用UC上網嗎?》的帖子,聲稱UC瀏覽器使用明文的方式傳輸用戶密碼,導致第三方可以輕松竊取UC瀏覽器用戶登錄各個網站的用戶名和密碼。
該文章給出了一個教程,通過筆記本電腦在星巴克、麥當勞等人流密集地區偽造無密碼的無線熱點AP,在電腦上安裝Wireshark軟件進行抓包,如果用戶使用UC瀏覽器登錄Gmail、Hotmail等網站,用戶提交的用戶名和密碼就會被Wireshark截獲,使得原本安全的HTTPS連接信息,包含用戶名和密碼都遭到明文泄漏。在稍后的一篇文章中,該用戶還測試了其他品牌的手機瀏覽器。
為了驗證UC瀏覽器是否真的明文傳輸密碼,我在自己的電腦上進行了實測,電腦端用ADSL撥號上網,然后將電腦的無線網卡模擬出一個無線熱點AP,在手機上安裝蘋果美國商店App Store的最新UC瀏覽器V8.2.1.132,手機端通過這個WiFi熱點上網。
在手機上打開UC瀏覽器,然后訪問Gmail登錄,同時在電腦上啟用Wireshark進行抓包監聽,我測試登錄的用戶名為williamlong,密碼為1234567890123,登錄完成后停止抓包然后進行分析,抓包的截圖顯示該用戶名和密碼為明文傳輸,通訊協議為HTTP,連接的是廣州的一臺服務器,這證明了原有的HTTPS安全連接遭到了破壞。
為什么HTTPS是安全的?
HTTPS(超文本傳輸安全協議,Hypertext Transfer Protocol Secure)是一種常見的網絡傳輸協議,提供客戶端和服務器的加密通訊,HTTPS的主要思想是在不安全的網絡上創建一安全信道,對監聽和中間人攻擊提供合理的保護。
我們知道,HTTP是不安全的,通過監聽和中間人攻擊等手段,可以獲取網站帳戶和敏感信息等,HTTPS被設計為可防止前述攻擊,并被認為是安全的。
比如上面這個案例,通過偽造WiFi熱點進行抓包監聽,如果手機使用原生瀏覽器的話,通常來說,是無法監聽到HTTPS方式訪問的內容,HTTPS通訊內容均為加密信息,很難被破解。但是所有的HTTP訪問信息都會被獲取,如果用戶使用HTTP訪問一些隱私信息,則存在隱私泄漏的風險,例如用戶使用百度搜索(目前百度只有HTTP版本),那么搜素的關鍵詞就會被第三方監聽,從而帶來泄密的風險,這也就是2010年5月Google在全球部署HTTPS加密搜索的原因了,有了HTTPS版本的Google搜索,手機用戶即使在不安全的無線熱點進行搜索,其搜索的內容也不會被人竊取。
可見普通的HTTP瀏覽是不安全的,而HTTPS瀏覽相比比較安全。
UC瀏覽器的問題
從上面的分析可知,使用手機內置的瀏覽器,在不安全的WiFi下訪問HTTPS仍然是相對安全的,然而UC瀏覽器是一種中轉壓縮的技術進行加速,實現快捷上網,節省用戶流量,這樣,所有的訪問都通過UC的代理服務器整理后傳送UC瀏覽器客戶端。當用戶通過UC瀏覽器登錄Gmail的時候,UC瀏覽器會把用戶訪問的URL地址和提交的信息發送到附近的一臺UC服務器,這里存在的漏洞是,UC瀏覽器手機端和UC服務器之間的通訊是采用HTTP協議,并且包括用戶名和密碼在內的所有信息均為明文傳輸,這使得UC瀏覽器和UC服務器之間的通訊可以被監聽和抓包,第三方可以通過這種方法獲取手機用戶的帳戶密碼等敏感信息,用戶通過登錄的任何網站都會被監聽,包括郵箱、網站后臺、網銀、網上支付等。
針對這個漏洞,UC產品總裁何小鵬在微博上表示,會在之后重新評估,如何更全面的保護用戶的手機上網安全和信息安全,同時提供一個較好的手機上網安全增強方案。
對UC用戶的建議
目前使用UC瀏覽器的用戶,在麥當勞、星巴克等公共場所上網的時候,盡量不要使用未知的WiFi熱點,如果使用的話,只要不進行登錄操作,只是純粹瀏覽網頁,就沒有安全性問題。如果需要登錄的話,應該在UC瀏覽器中關閉其加速代理服務,然后再進行登錄。
Copyright@ 2011-2016 版權所有:大連千億科技有限公司 遼ICP備11013762-3號 google網站地圖 百度網站地圖 網站地圖
公司地址:大連市沙河口區中山路692號辰熙星海國際2317 客服電話:0411-39943997 QQ:2088827823 37482752
法律聲明:未經許可,任何模仿本站模板、轉載本站內容等行為者,本站保留追究其法律責任的權利! 隱私權政策聲明