UC瀏覽器被指明文傳輸用戶密碼

  去年底爆發的互聯網洩密風波正擴散至移動互聯網領域,日前,一位自稱初級黑客的網友在天涯網發布《有圖有真相你還敢用UC上網嗎? 》的帖子,聲稱UC瀏覽器使用明文的方式傳輸用戶密碼,導致第三方可以輕鬆竊取UC瀏覽器用戶登錄各個網站的用戶名和密碼。

  該文章給出了一個教程,通過筆記本電腦在星巴克、麥當勞等人流密集地區偽造無密碼的無線熱點AP,在電腦上安裝Wireshark軟件進行抓包,如果用戶使用UC瀏覽器登錄Gmail、Hotmail等網站,用戶提交的用戶名和密碼就會被Wireshark截獲,使得原本安全的HTTPS連接信息,包含用戶名和密碼都遭到明文洩漏。在稍後的一篇文章中,該用戶還測試了其他品牌的手機瀏覽器。

  為了驗證UC瀏覽器是否真的明文傳輸密碼,我在自己的電腦上進行了實測,電腦端用ADSL撥號上網,然後將電腦的無線網卡模擬出一個無線熱點AP,在手機上安裝蘋果​​美國商店App Store的最新UC瀏覽器V8.2.1.132,手機端通過這個WiFi熱點上網。

UC瀏覽器

  在手機上打開UC瀏覽器,然後訪問Gmail登錄,同時在電腦上啟用Wireshark進行抓包監聽,我測試登錄的用戶名為williamlong,密碼為1234567890123,登錄完成後停止抓包然後進行分析,抓包的截圖顯示該用戶名和密碼為明文傳輸,通訊協議為HTTP,連接的是廣州的一台服務器,這證明了原有的HTTPS安全連接遭到了破壞。

UC瀏覽器被指明文傳輸用戶密碼

  為什麼HTTPS是安全的?

  HTTPS(超文本傳輸安全協議,Hypertext Transfer Protocol Secure)是一種常見的網絡傳輸協議,提供客戶端和服務器的加密通訊,HTTPS的主要思想是在不安全的網絡上創建一安全信道,對監聽和中間人攻擊提供合理的保護。

  我們知道,HTTP是不安全的,通過監聽和中間人攻擊等手段,可以獲取網站帳戶和敏感信息等,HTTPS被設計為可防止前述攻擊,並被認為是安全的。

  比如上面這個案例,通過偽造WiFi熱點進行抓包監聽,如果手機使用原生瀏覽器的話,通常來說,是無法監聽到HTTPS方式訪問的內容,HTTPS通訊內容均為加密信息,很難被破解。但是所有的HTTP訪問信息都會被獲取,如果用戶使用HTTP訪問一些隱私信息,則存在隱私洩漏的風險,例如用戶使用百度搜索(目前百度只有HTTP版本),那麼搜素的關鍵詞就會被第三方監聽,從而帶來洩密的風險,這也就是2010年5月Google在全球部署HTTPS加密搜索的原因了,有了HTTPS版本的Google搜索,手機用戶即使在不安全的無線熱點進行搜索,其搜索的內容也不會被人竊取。

  可見普通的HTTP瀏覽是不安全的,而HTTPS瀏覽相比比較安全。

  UC瀏覽器的問題

  從上面的分析可知,使用手機內置的瀏覽器,在不安全的WiFi下訪問HTTPS仍然是相對安全的,然而UC瀏覽器是一種中轉壓縮的技術進行加速,實現快捷上網,節省用戶流量,這樣,所有的訪問都通過UC的代理服務器整理後傳送UC瀏覽器客戶端。當用戶通過UC瀏覽器登錄Gmail的時候,UC瀏覽器會把用戶訪問的URL地址和提交的信息發送到附近的一台UC服務器,這裡存在的漏洞是,UC瀏覽器手機端和UC服務器之間的通訊是採用HTTP協議,並且包括用戶名和密碼在內的所有信息均為明文傳輸,這使得UC瀏覽器和UC服務器之間的通訊可以被監聽和抓包,第三方可以通過這種方法獲取手機用戶的帳戶密碼等敏感信息,用戶通過登錄的任何網站都會被監聽,包括郵箱、網站後台、網銀、網上支付等。

  針對這個漏洞,UC產品總裁何小鵬在微博上表示,會在之後重新評估,如何更全面的保護用戶的手機上網安全和信息安全,同時提供一個較好的手機上網安全增強方案。

  對UC用戶的建議

  目前使用UC瀏覽器的用戶,在麥當勞、星巴克等公共場所上網的時候,盡量不要使用未知的WiFi熱點,如果使用的話,只要不進行登錄操作,只是純粹瀏覽網頁,就沒有安全性問題。如果需要登錄的話,應該在UC瀏覽器中關閉其加速代理服務,然後再進行登錄。

特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,文章转自月光博客

Comments are closed.