UC浏览器被指明文传输用户密码

标签: uc 浏览器 明文 | 发表时间:2012-02-22 12:14 | 作者:月光 (williamlong)
出处:http://www.williamlong.info/

  去年底爆发的互联网 泄密风波正扩散至移动互联网领域,日前,一位自称初级黑客的网友在天涯网发布《 有图有真相 你还敢用UC上网吗?》的帖子,声称UC浏览器使用明文的方式传输用户密码,导致第三方可以轻松窃取UC浏览器用户登录各个网站的用户名和密码。

  该文章给出了一个教程,通过笔记本电脑在星巴克、麦当劳等人流密集地区伪造无密码的无线热点AP,在电脑上安装Wireshark软件进行抓包,如果用户使用UC浏览器登录Gmail、Hotmail等网站,用户提交的用户名和密码就会被Wireshark截获,使得原本安全的HTTPS连接信息,包含用户名和密码都遭到明文泄漏。在稍后的 一篇文章中,该用户还测试了其他品牌的手机浏览器。

  为了验证UC浏览器是否真的明文传输密码,我在自己的电脑上进行了实测,电脑端用ADSL拨号上网,然后将电脑的无线网卡模拟出一个无线热点AP,在手机上安装苹果美国商店App Store的最新UC浏览器V8.2.1.132,手机端通过这个WiFi热点上网。

UC浏览器

  在手机上打开UC浏览器,然后访问Gmail登录,同时在电脑上启用Wireshark进行抓包监听,我测试登录的用户名为williamlong,密码为1234567890123,登录完成后停止抓包然后进行分析,抓包的截图显示该用户名和密码为明文传输,通讯协议为HTTP,连接的是广州的一台服务器,这证明了原有的HTTPS安全连接遭到了破坏。

UC浏览器被指明文传输用户密码

   为什么HTTPS是安全的?

  HTTPS(超文本传输安全协议,Hypertext Transfer Protocol Secure)是一种常见的网络传输协议,提供客户端和服务器的加密通讯,HTTPS的主要思想是在不安全的网络上创建一安全信道,对监听和中间人攻击提供合理的保护。

  我们知道,HTTP是不安全的,通过监听和中间人攻击等手段,可以获取网站帐户和敏感信息等,HTTPS被设计为可防止前述攻击,并被认为是安全的。

  比如上面这个案例,通过伪造WiFi热点进行抓包监听,如果手机使用原生浏览器的话,通常来说,是无法监听到HTTPS方式访问的内容,HTTPS通讯内容均为加密信息,很难被破解。但是所有的HTTP访问信息都会被获取,如果用户使用HTTP访问一些隐私信息,则存在隐私泄漏的风险,例如用户使用百度搜索(目前百度只有HTTP版本),那么搜素的关键词就会被第三方监听,从而带来泄密的风险,这也就是2010年5月Google在全球部署 HTTPS加密搜索的原因了,有了HTTPS版本的Google搜索,手机用户即使在不安全的无线热点进行搜索,其搜索的内容也不会被人窃取。

  可见普通的HTTP浏览是不安全的,而HTTPS浏览相比比较安全。

   UC浏览器的问题

  从上面的分析可知,使用手机内置的浏览器,在不安全的WiFi下访问HTTPS仍然是相对安全的,然而UC浏览器是一种中转压缩的技术进行加速,实现快捷上网,节省用户流量,这样,所有的访问都通过UC的代理服务器整理后传送UC浏览器客户端。当用户通过UC浏览器登录Gmail的时候,UC浏览器会把用户访问的URL地址和提交的信息发送到附近的一台UC服务器,这里存在的漏洞是,UC浏览器手机端和UC服务器之间的通讯是采用HTTP协议,并且包括用户名和密码在内的所有信息均为明文传输,这使得UC浏览器和UC服务器之间的通讯可以被监听和抓包,第三方可以通过这种方法获取手机用户的帐户密码等敏感信息,用户通过登录的任何网站都会被监听,包括邮箱、网站后台、网银、网上支付等。

  针对这个漏洞,UC产品总裁何小鹏在微博上表示,会在之后重新评估,如何更全面的保护用户的手机上网安全和信息安全,同时提供一个较好的手机上网安全增强方案。

   对UC用户的建议

  目前使用UC浏览器的用户,在麦当劳、星巴克等公共场所上网的时候,尽量不要使用未知的WiFi热点,如果使用的话,只要不进行登录操作,只是纯粹浏览网页,就没有安全性问题。如果需要登录的话,应该在UC浏览器中关闭其加速代理服务,然后再进行登录。

评论《UC浏览器被指明文传输用户密码》的内容...

相关文章:

统计
微博: 新浪微博 - 腾讯微博
QQ群:186784064
月光博客投稿信箱:williamlong.info(at)gmail.com
Created by William Long www.williamlong.info

相关 [uc 浏览器 明文] 推荐:

UC浏览器被指明文传输用户密码

- - 月光博客
  去年底爆发的互联网 泄密风波正扩散至移动互联网领域,日前,一位自称初级黑客的网友在天涯网发布《 有图有真相 你还敢用UC上网吗. 》的帖子,声称UC浏览器使用明文的方式传输用户密码,导致第三方可以轻松窃取UC浏览器用户登录各个网站的用户名和密码.   该文章给出了一个教程,通过笔记本电脑在星巴克、麦当劳等人流密集地区伪造无密码的无线热点AP,在电脑上安装Wireshark软件进行抓包,如果用户使用UC浏览器登录Gmail、Hotmail等网站,用户提交的用户名和密码就会被Wireshark截获,使得原本安全的HTTPS连接信息,包含用户名和密码都遭到明文泄漏.

UC浏览器1.0.0(WP7专版)发布

- 洞箫 - cnBeta.COM
UC浏览器1.0专为Windows Phone 7而设,其高集成、全方位、多线程、智能化的强大功能,必为您带来前所未有的爽快体验.高效智能操作流畅,时尚触感以您为尊,是您的爱机玩转移动互联网的最佳伴侣.

UC未出,百度先行—百度浏览器WP7版本评测

- xcv58 - 玩转WP
(玩转WP7评测频道)今天,百度发布了Windows Phone 7版本的百度浏览器. 百度手机浏览器是百度移动客户端团队倾心打造的掌上产品,它基于最新的浏览内核,通过几十项技术改进,全面提速手机浏览,为您解决手机屏幕小、流量有限和网络不稳定等问题,轻松浏览各类网站. 发微博、看新闻、浏览论坛、搜索和下载软件神马的都很给力.

QQ和UC浏览器哪个是手机必装软件?或许你从未听说过的Onavo才是

- boho - 36氪
QQ和UC浏览器哪个是手机必装软件. 昨天互联网大会上UCWeb总裁俞永福表示两者都是. 我们微博直播这条消息后,也有很多读者朋友们表示不屑. 那到底有没有一款手机必装软件呢. 著名科技博客Techcrunch的答案是:有,一款名叫Onavo的软件就是所有的手机用户必装的(目前只有iOS版). 据描述,该应用是一款免费的流量压缩应用,而且在压缩数据流量的同时还不会限制网速.

UC浏览器与银联合作 银联卡可直接进行移动支付

- - TechWeb 今日焦点 RSS阅读
  UC优视CEO俞永福表示,银联-UC移动安全支付解决方案目标是2013年用户超过1000万.   【TechWeb报道】4月24日消息,中国银联与UC优视签署战略合作协议,推出基于UC浏览器的银联移动安全支付解决方案.   使用UC浏览器8.3版本的用户,可直接在UC浏览器内使用银联信用卡或借记卡(均指卡号以62开头,卡面有银联标识)完成移动支付.

UC浏览器Android版本正式发布8.2版更新,主打语音控制

- - 36氪
Siri的横空出世又带火了一个概念——语音控制. 似乎现在什么产品都要与语音沾上一点边了. 前不久有国内的团队开发了Android版Siri“ Airi”,今天Android版UC浏览器又发布了 8.2更新,主打语音控制. 安装该浏览器后,你会发现底部有一个麦克风的按钮,通过这个按钮你就可以对浏览器实行语音指令了.

UC浏览器宣布进军移动搜索领域,联合阿里推出移动搜索引擎“神马”

- - 36氪 | 关注互联网创业
“ 神马”不一定都是浮云,还有可能是移动搜索引擎. 在今天的UC十周年庆典上,UC浏览器正式对外发布了和阿里巴巴合作推出的移动搜索引擎新品牌—— 神马(域名是sm.cn......),也意味着UC浏览器将正式进军移动搜索领域. “ 神马”搜索号称定位为“全球移动搜索的创新者”,按照俞永福的话说就是,彻底摈弃了PC搜索领域的包袱,全部遵循移动互联网的用户体验.

UC浏览器中文版被发现会收集发送用户隐私数据

- - Solidot
加拿大多伦多大学公民实验室调查和比较了中文版UC浏览器和英文版UC浏览器,其中中文版被发现会收集和发送用户的隐私数据,但英文版却没有这么多隐私问题,明显内外有别. UC浏览器号称有5亿注册用户,是全球第四大移动浏览器,仅次于 Chrome、Android浏览器和Safari,每天有1亿活跃用户,它已被阿里巴巴收购.

移动浏览器的需求弱化之后,UC 想要变成你的资讯阅读器

- - PingWest品玩
“趋势来了,即便不做什么,也会被推着向前走,大家非常高兴;趋势走了,谁都挡不住”. UC 总裁何小鹏今天讲的这句话应该可以引起很多移动互联网行业从业者的共鸣,这其实也是 UC 浏览器自身的真实经历. 作为一款已经 12 年的老产品,UC 浏览器现在决定去抓内容这个新趋势. 不用我说,你可能也觉得自己现在用浏览器的时长在降低.

UC浏览器被曝中间人攻击漏洞,全球多达十几亿设备均受影响

- - FreeBuf互联网安全新媒体平台
自从 Symbian 时代开始,UC浏览器就已经成为移动端用户量最大的浏览器之一,此后逐渐发展之Android、iOS及Windows平台. 目前在Google Play上UC浏览器安装量超过5亿、而在国内某安卓应用市场下载量也超过12亿. Android端UC浏览器中间人攻击 Demo. 而近期,Dr.Web恶意软件分析师发现UC浏览器存在中间人攻击漏洞,允许远程攻击者将恶意模块推送到目标设备.