若使用UC浏览器，用户密码可以被轻松窃取

2012 年 2 月 22 日 16097点热度 0人点赞 19条评论

　　今天在月光博客看到一篇日志，是说如果用户使用UC浏览器进行上网浏览的话，用户数据和密码是可以被轻易窃取的。其实这里说的只是表面，很容易误导观众，这里所说的是默认加密协议HTTPS在UC浏览器段被改变为HTTP协议，而默认HTTP协议方式浏览网页是很容易被窃取用户密码的。下面是这则日志全文：

　　去年底爆发的互联网泄密风波正扩散至移动互联网领域，日前，一位自称初级黑客的网友在天涯网发布《有图有真相你还敢用UC上网吗？》的帖子，声称UC浏览器使用明文的方式传输用户密码，导致第三方可以轻松窃取UC浏览器用户登录各个网站的用户名和密码。

　　该文章给出了一个教程，通过笔记本电脑在星巴克、麦当劳等人流密集地区伪造无密码的无线热点AP，在电脑上安装Wireshark软件进行抓包，如果用户使用UC浏览器登录Gmail、Hotmail等网站，用户提交的用户名和密码就会被Wireshark截获，使得原本安全的HTTPS连接信息，包含用户名和密码都遭到明文泄漏。在稍后的一篇文章中，该用户还测试了其他品牌的手机浏览器。

　　为了验证UC浏览器是否真的明文传输密码，我在自己的电脑上进行了实测，电脑端用ADSL拨号上网，然后将电脑的无线网卡模拟出一个无线热点AP，在手机上安装苹果美国商店App Store的最新UC浏览器V8.2.1.132，手机端通过这个WiFi热点上网。

UC浏览器

　　在手机上打开UC浏览器，然后访问Gmail登录，同时在电脑上启用Wireshark进行抓包监听，我测试登录的用户名为williamlong，密码为1234567890123，登录完成后停止抓包然后进行分析，抓包的截图显示该用户名和密码为明文传输，通讯协议为HTTP，连接的是广州的一台服务器，这证明了原有的HTTPS安全连接遭到了破坏。

为什么HTTPS是安全的？

　　HTTPS（超文本传输安全协议，Hypertext Transfer Protocol Secure）是一种常见的网络传输协议，提供客户端和服务器的加密通讯，HTTPS的主要思想是在不安全的网络上创建一安全信道，对监听和中间人攻击提供合理的保护。

　　我们知道，HTTP是不安全的，通过监听和中间人攻击等手段，可以获取网站帐户和敏感信息等，HTTPS被设计为可防止前述攻击，并被认为是安全的。

　　比如上面这个案例，通过伪造WiFi热点进行抓包监听，如果手机使用原生浏览器的话，通常来说，是无法监听到HTTPS方式访问的内容，HTTPS通讯内容均为加密信息，很难被破解。但是所有的HTTP访问信息都会被获取，如果用户使用HTTP访问一些隐私信息，则存在隐私泄漏的风险，例如用户使用百度搜索（目前百度只有HTTP版本），那么搜素的关键词就会被第三方监听，从而带来泄密的风险，这也就是2010年5月Google在全球部署HTTPS加密搜索的原因了，有了HTTPS版本的Google搜索，手机用户即使在不安全的无线热点进行搜索，其搜索的内容也不会被人窃取。

　　可见普通的HTTP浏览是不安全的，而HTTPS浏览相比比较安全。

UC浏览器的问题

　　从上面的分析可知，使用手机内置的浏览器，在不安全的WiFi下访问HTTPS仍然是相对安全的，然而UC浏览器是一种中转压缩的技术进行加速，实现快捷上网，节省用户流量，这样，所有的访问都通过UC的代理服务器整理后传送UC浏览器客户端。当用户通过UC浏览器登录Gmail的时候，UC浏览器会把用户访问的URL地址和提交的信息发送到附近的一台UC服务器，这里存在的漏洞是，UC浏览器手机端和UC服务器之间的通讯是采用HTTP协议，并且包括用户名和密码在内的所有信息均为明文传输，这使得UC浏览器和UC服务器之间的通讯可以被监听和抓包，第三方可以通过这种方法获取手机用户的帐户密码等敏感信息，用户通过登录的任何网站都会被监听，包括邮箱、网站后台、网银、网上支付等。

　　针对这个漏洞，UC产品总裁何小鹏在微博上表示，会在之后重新评估，如何更全面的保护用户的手机上网安全和信息安全，同时提供一个较好的手机上网安全增强方案。