去年底爆發(fā)的互聯(lián)網(wǎng)泄密風(fēng)波正擴散至移動(dòng)互聯(lián)網(wǎng)領(lǐng)域���,日前�,一位自稱(chēng)初級黑客的網(wǎng)友在天涯網(wǎng)發(fā)布《有圖有真相 你還敢用UC上網(wǎng)嗎����?》的帖子����,聲稱(chēng)UC瀏覽器使用明文的方式傳輸用戶(hù)密碼��,導致第三方可以輕松竊取UC瀏覽器用戶(hù)登錄各個(gè)網(wǎng)站的用戶(hù)名和密碼�。
該文章給出了一個(gè)教程�����,通過(guò)筆記本電腦在星巴克�、麥當勞等人流密集地區偽造無(wú)密碼的無(wú)線(xiàn)熱點(diǎn)AP��,在電腦上安裝Wireshark軟件進(jìn)行抓包�,如果用戶(hù)使用UC瀏覽器登錄Gmail����、Hotmail等網(wǎng)站����,用戶(hù)提交的用戶(hù)名和密碼就會(huì )被Wireshark截獲�����,使得原本安全的HTTPS連接信息���,包含用戶(hù)名和密碼都遭到明文泄漏�����。在稍后的一篇文章中���,該用戶(hù)還測試了其他品牌的手機瀏覽器����。
為了驗證UC瀏覽器是否真的明文傳輸密碼��,我在自己的電腦上進(jìn)行了實(shí)測����,電腦端用ADSL撥號上網(wǎng)��,然后將電腦的無(wú)線(xiàn)網(wǎng)卡模擬出一個(gè)無(wú)線(xiàn)熱點(diǎn)AP��,在手機上安裝蘋(píng)果美國商店App Store的最新UC瀏覽器V8.2.1.132�����,手機端通過(guò)這個(gè)WiFi熱點(diǎn)上網(wǎng)�����。
在手機上打開(kāi)UC瀏覽器����,然后訪(fǎng)問(wèn)Gmail登錄�,同時(shí)在電腦上啟用Wireshark進(jìn)行抓包監聽(tīng)�,我測試登錄的用戶(hù)名為williamlong���,密碼為1234567890123�,登錄完成后停止抓包然后進(jìn)行分析�,抓包的截圖顯示該用戶(hù)名和密碼為明文傳輸���,通訊協(xié)議為HTTP�,連接的是廣州的一臺服務(wù)器�����,這證明了原有的HTTPS安全連接遭到了破壞�。
為什么HTTPS是安全的����?
HTTPS(超文本傳輸安全協(xié)議���,Hypertext Transfer Protocol Secure)是一種常見(jiàn)的網(wǎng)絡(luò )傳輸協(xié)議�����,提供客戶(hù)端和服務(wù)器的加密通訊���,HTTPS的主要思想是在不安全的網(wǎng)絡(luò )上創(chuàng )建一安全信道����,對監聽(tīng)和中間人攻擊提供合理的保護��。
我們知道�����,HTTP是不安全的��,通過(guò)監聽(tīng)和中間人攻擊等手段���,可以獲取網(wǎng)站帳戶(hù)和敏感信息等�,HTTPS被設計為可防止前述攻擊�����,并被認為是安全的��。
比如上面這個(gè)案例�,通過(guò)偽造WiFi熱點(diǎn)進(jìn)行抓包監聽(tīng)���,如果手機使用原生瀏覽器的話(huà)����,通常來(lái)說(shuō)�,是無(wú)法監聽(tīng)到HTTPS方式訪(fǎng)問(wèn)的內容����,HTTPS通訊內容均為加密信息�����,很難被破解����。但是所有的HTTP訪(fǎng)問(wèn)信息都會(huì )被獲取����,如果用戶(hù)使用HTTP訪(fǎng)問(wèn)一些隱私信息��,則存在隱私泄漏的風(fēng)險��,例如用戶(hù)使用百度搜索(目前百度只有HTTP版本)���,那么搜素的關(guān)鍵詞就會(huì )被第三方監聽(tīng)���,從而帶來(lái)泄密的風(fēng)險���,這也就是2010年5月Google在全球部署HTTPS加密搜索的原因了�����,有了HTTPS版本的Google搜索����,手機用戶(hù)即使在不安全的無(wú)線(xiàn)熱點(diǎn)進(jìn)行搜索���,其搜索的內容也不會(huì )被人竊取��。
可見(jiàn)普通的HTTP瀏覽是不安全的����,而HTTPS瀏覽相比比較安全�����。
UC瀏覽器的問(wèn)題
從上面的分析可知�����,使用手機內置的瀏覽器�����,在不安全的WiFi下訪(fǎng)問(wèn)HTTPS仍然是相對安全的���,然而UC瀏覽器是一種中轉壓縮的技術(shù)進(jìn)行加速�,實(shí)現快捷上網(wǎng)����,節省用戶(hù)流量�,這樣���,所有的訪(fǎng)問(wèn)都通過(guò)UC的代理服務(wù)器整理后傳送UC瀏覽器客戶(hù)端�。當用戶(hù)通過(guò)UC瀏覽器登錄Gmail的時(shí)候����,UC瀏覽器會(huì )把用戶(hù)訪(fǎng)問(wèn)的URL地址和提交的信息發(fā)送到附近的一臺UC服務(wù)器��,這里存在的漏洞是����,UC瀏覽器手機端和UC服務(wù)器之間的通訊是采用HTTP協(xié)議��,并且包括用戶(hù)名和密碼在內的所有信息均為明文傳輸���,這使得UC瀏覽器和UC服務(wù)器之間的通訊可以被監聽(tīng)和抓包�,第三方可以通過(guò)這種方法獲取手機用戶(hù)的帳戶(hù)密碼等敏感信息��,用戶(hù)通過(guò)登錄的任何網(wǎng)站都會(huì )被監聽(tīng)�����,包括郵箱��、網(wǎng)站后臺����、網(wǎng)銀����、網(wǎng)上支付等�����。
針對這個(gè)漏洞����,UC產(chǎn)品總裁何小鵬在微博上表示�,會(huì )在之后重新評估��,如何更全面的保護用戶(hù)的手機上網(wǎng)安全和信息安全�,同時(shí)提供一個(gè)較好的手機上網(wǎng)安全增強方案����。
對UC用戶(hù)的建議
目前使用UC瀏覽器的用戶(hù)����,在麥當勞���、星巴克等公共場(chǎng)所上網(wǎng)的時(shí)候��,盡量不要使用未知的WiFi熱點(diǎn)�����,如果使用的話(huà)��,只要不進(jìn)行登錄操作��,只是純粹瀏覽網(wǎng)頁(yè)�����,就沒(méi)有安全性問(wèn)題���。如果需要登錄的話(huà)���,應該在UC瀏覽器中關(guān)閉其加速代理服務(wù)����,然后再進(jìn)行登錄���。
