當前位置:首頁 >  科技 >  數(shù)碼 >  正文

獨家評測:中國互聯(lián)網產品均存在信息傳輸加密問題

 2015-05-22 10:27  來源: 用戶投稿   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

昨日外媒針對中國的移動應用UC瀏覽器發(fā)布了一篇質疑報道,稱其存在信息傳輸加密問題。針對文中提到的信息傳輸加密風險,記者對百度、騰訊、阿里等互聯(lián)網公司的應用進行測試,結果發(fā)現(xiàn)該信息傳輸加密問題并非個案。百度、騰訊等都存在明文傳輸或加密級別不夠等問題。

也就是說,國內的互聯(lián)網廠商對于不涉及敏感信息的地理位置信息、設備信息等大多采用類似的傳輸加密方式,該國外機構的質疑一定程度上給中國互聯(lián)網行業(yè)的移動應用信息傳輸加密通用標準提出了整體挑戰(zhàn)。

以下是兩大主流手機瀏覽器——騰訊手機QQ瀏覽器、百度手機瀏覽器的測試結果:

百度地圖僅做簡單加密,騰訊地圖則根本未加密

百度瀏覽器的地圖第三方SDK使用的是百度地圖的網絡定位服務。百度地圖沒有采用安全級別更高的HTTPS加密方式,只是在本地利用一個.so進行加密,便可在虛擬機上利用這個.so抓取Baidu的數(shù)據(jù),如下圖:

而QQ手機瀏覽器的地圖第三方SDK使用的是騰訊地圖的網絡定位服務,騰訊地圖在客戶端采用的是明文存儲(用戶信息、時間、定位信息、POI信息等),情況,如下圖:

百度手機瀏覽器和QQ瀏覽器消息推送SDK都明文傳輸了IMEI等設備信息

針對手機瀏覽器使用的消息推送SDK進行分析,我們也能看到QQ瀏覽器在運行過程中將IMEI等設備信息明文傳輸?shù)椒掌鳌?/p>

我們進行簡單分析:對QQ瀏覽器測試的機主的手機信息如下圖:

網絡劫包工具抓取的QQ瀏覽器與的通訊請求post的數(shù)據(jù)體,該數(shù)據(jù)經過標準的url編碼,解碼后能清晰的看到用戶imei等信息被明文發(fā)送到服務器。

QQ瀏覽器在傳輸過程中,IMEI等設備信息被明文發(fā)送到服務器,如下圖:

同樣,在對百度手機瀏覽器使用的信息推送SDK進行分析后發(fā)現(xiàn),其傳輸數(shù)據(jù)針對IMEI等信息只是做了倒序處理,基本沒有加密作用。同時百度手機瀏覽器中用于URL的加密算法仍然是對稱加密算法,是可以通過破解客戶端來得到解密算法還原加密信息的。

用于分析百度瀏覽器的手機信息見下圖:

通過網絡劫包工具抓取的百度瀏覽器與的通訊請求頭發(fā)現(xiàn),其POST的數(shù)據(jù)體雖然是加密的數(shù)據(jù),但進行簡單解密之后發(fā)現(xiàn)只是對關鍵信息做了一個倒序的處理,如下圖:

而且這個通訊請求得到的結果,是以明文回傳的用戶地址信息,如下圖:

手機百度瀏覽器、QQ瀏覽器的搜索關鍵詞請求也都是明文傳輸

同時,記者對手機QQ瀏覽器、手機百度瀏覽器以及其默認使用的搜狗搜索和百度搜索的搜索關鍵詞傳輸也進行了測試,結果發(fā)現(xiàn)搜索請求均采用了明文傳輸?shù)姆绞健?/p>

手機QQ瀏覽器,默認使用搜狗搜索,在請求頭里出現(xiàn)了搜索詞,見下圖:

手機百度瀏覽器,默認使用百度搜索,在請求頭里出現(xiàn)了搜索詞,見下圖:

注:

針對此次國外人權機構提出的國內移動應用信息傳輸加密風險,是指中國主流的移動應用在使用一些第三方應用的SDK時,在涉及傳輸一些不敏感的地理信息及設備相關信息時,加密級別不夠高,存在被攻破風險。

國內應用針對非敏感類信息基本未使用非對稱加密算法(HTTPS),而是使用對稱加密算法進行數(shù)據(jù)傳輸,當SDK被人逆向分析就會導致密鑰泄漏。

IT耳朵微信號:erduomi

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關標簽
中國互聯(lián)網

相關文章

熱門排行

信息推薦