若使用UC浏览器,用户密码可以被轻松窃取

  今天在月光博客看到一篇日志,是说如果用户使用UC浏览器进行上网浏览的话,用户数据和密码是可以被轻易窃取的。其实这里说的只是表面,很容易误导观众,这里所说的是默认加密协议HTTPS在UC浏览器段被改变为HTTP协议,而默认HTTP协议方式浏览网页是很容易被窃取用户密码的。下面是这则日志全文:

  去年底爆发的互联网泄密风波正扩散至移动互联网领域,日前,一位自称初级黑客的网友在天涯网发布《有图有真相 你还敢用UC上网吗?》的帖子,声称UC浏览器使用明文的方式传输用户密码,导致第三方可以轻松窃取UC浏览器用户登录各个网站的用户名和密码。

  该文章给出了一个教程,通过笔记本电脑在星巴克、麦当劳等人流密集地区伪造无密码的无线热点AP,在电脑上安装Wireshark软件进行抓包,如果用户使用UC浏览器登录Gmail、Hotmail等网站,用户提交的用户名和密码就会被Wireshark截获,使得原本安全的HTTPS连接信息,包含用户名和密码都遭到明文泄漏。在稍后的一篇文章中,该用户还测试了其他品牌的手机浏览器。

  为了验证UC浏览器是否真的明文传输密码,我在自己的电脑上进行了实测,电脑端用ADSL拨号上网,然后将电脑的无线网卡模拟出一个无线热点AP,在手机上安装苹果美国商店App Store的最新UC浏览器V8.2.1.132,手机端通过这个WiFi热点上网。

UC浏览器

  在手机上打开UC浏览器,然后访问Gmail登录,同时在电脑上启用Wireshark进行抓包监听,我测试登录的用户名为williamlong,密码为1234567890123,登录完成后停止抓包然后进行分析,抓包的截图显示该用户名和密码为明文传输,通讯协议为HTTP,连接的是广州的一台服务器,这证明了原有的HTTPS安全连接遭到了破坏。

UC浏览器被指明文传输用户密码

为什么HTTPS是安全的?

  HTTPS(超文本传输安全协议,Hypertext Transfer Protocol Secure)是一种常见的网络传输协议,提供客户端和服务器的加密通讯,HTTPS的主要思想是在不安全的网络上创建一安全信道,对监听和中间人攻击提供合理的保护。

  我们知道,HTTP是不安全的,通过监听和中间人攻击等手段,可以获取网站帐户和敏感信息等,HTTPS被设计为可防止前述攻击,并被认为是安全的。

  比如上面这个案例,通过伪造WiFi热点进行抓包监听,如果手机使用原生浏览器的话,通常来说,是无法监听到HTTPS方式访问的内容,HTTPS通讯内容均为加密信息,很难被破解。但是所有的HTTP访问信息都会被获取,如果用户使用HTTP访问一些隐私信息,则存在隐私泄漏的风险,例如用户使用百度搜索(目前百度只有HTTP版本),那么搜素的关键词就会被第三方监听,从而带来泄密的风险,这也就是2010年5月Google在全球部署HTTPS加密搜索的原因了,有了HTTPS版本的Google搜索,手机用户即使在不安全的无线热点进行搜索,其搜索的内容也不会被人窃取。

  可见普通的HTTP浏览是不安全的,而HTTPS浏览相比比较安全。

UC浏览器的问题

  从上面的分析可知,使用手机内置的浏览器,在不安全的WiFi下访问HTTPS仍然是相对安全的,然而UC浏览器是一种中转压缩的技术进行加速,实现快捷上网,节省用户流量,这样,所有的访问都通过UC的代理服务器整理后传送UC浏览器客户端。当用户通过UC浏览器登录Gmail的时候,UC浏览器会把用户访问的URL地址和提交的信息发送到附近的一台UC服务器,这里存在的漏洞是,UC浏览器手机端和UC服务器之间的通讯是采用HTTP协议,并且包括用户名和密码在内的所有信息均为明文传输,这使得UC浏览器和UC服务器之间的通讯可以被监听和抓包,第三方可以通过这种方法获取手机用户的帐户密码等敏感信息,用户通过登录的任何网站都会被监听,包括邮箱、网站后台、网银、网上支付等。

  针对这个漏洞,UC产品总裁何小鹏在微博上表示,会在之后重新评估,如何更全面的保护用户的手机上网安全和信息安全,同时提供一个较好的手机上网安全增强方案。

对UC用户的建议

  目前使用UC浏览器的用户,在麦当劳、星巴克等公共场所上网的时候,尽量不要使用未知的WiFi热点,如果使用的话,只要不进行登录操作,只是纯粹浏览网页,就没有安全性问题。如果需要登录的话,应该在UC浏览器中关闭其加速代理服务,然后再进行登录。

挨踢小茶说在最后

  HTTP协议和FTP,TELNET协议一样,在网络中都是以明文形式传输的,如果在传输过程中被不法分子进行信息窃取或者中间人攻击的话,是可以通过利用Wireshark等抓包软件对传输报文进行截取的。如果在局域网中发现被进行了ARP攻击的话,也要小心有人冒充了默认网关来对你传输的数据进行截取。

  这里只能给大家一个建议,尽量用加密的协议HTTPS,SFTP,SSH等。



 
 » 除非注明,本博客文章均为挨踢小茶原创,转载请以链接形式标明本文地址
该日志由 挨踢小茶 于2012年02月22日发表在 IT资讯, 信息安全 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 若使用UC浏览器,用户密码可以被轻松窃取 | 挨踢茶馆
关键字: ,
【上一篇】
【下一篇】

若使用UC浏览器,用户密码可以被轻松窃取:目前有19 条留言

  1. 18楼
    一堵墙:

    HTTPS目前真的是安全的,至少HTTPS的内容都不会被Q

    2012-05-11 下午 7:37 [回复]
  2. 17楼
    呆木头:

    UC目前可是我主要的上网工具啊,这可咋办?

    2012-03-02 下午 7:44 [回复]
  3. 16楼
    TC:

    呵呵你的博客现在做的很不错哦

    2012-02-28 上午 9:23 [回复]
  4. 有一种感觉,就是互联网太不安全了

    2012-02-24 下午 12:24 [回复]
  5. 谢谢分享,支持

    2012-02-24 上午 11:23 [回复]
  6. 👿 这会不会是恶意中伤啊,

    2012-02-24 上午 11:02 [回复]
  7. 强大,分享了

    2012-02-24 上午 10:47 [回复]
  8. 11楼
    武林之人:

    哈哈,不错不错,总算找到了!

    2012-02-23 下午 11:28 [回复]
  9. 10楼
    牛奶减肥:

    听说。正在改动啊。。uc的设计漏洞。。

    2012-02-23 下午 10:33 [回复]
  10. 也看到了,确实是这样

    2012-02-23 下午 6:37 [回复]
  11. 这好像有点不符合法 😡

    2012-02-23 下午 4:49 [回复]
  12. 7楼
    相当拽:

    相当不错哦!

    2012-02-23 下午 4:12 [回复]
  13. 窃取密码啊,太强了

    2012-02-23 下午 12:01 [回复]
  14. 学习下,多谢博主!

    2012-02-23 上午 11:28 [回复]
  15. UC浏览器的问题

    2012-02-23 上午 8:41 [回复]
  16. 地板
    冰雷:

    强大,分享了,找了好久我晕!

    2012-02-23 上午 2:12 [回复]
  17. 这样也行?高!

    2012-02-23 上午 12:09 [回复]
  18. 我晕!这样也行?学习了!

    2012-02-22 下午 9:51 [回复]

发表评论



快捷键:Ctrl+Enter

无觅相关文章插件,快速提升流量