域名預訂/競價，好“米”不錯過

昨日外媒針對中國的移動應用UC瀏覽器發(fā)布了一篇質(zhì)疑報道，稱其存在信息傳輸加密問題。針對文中提到的信息傳輸加密風險，記者對百度、騰訊、阿里等互聯(lián)網(wǎng)公司的應用進行測試，結(jié)果發(fā)現(xiàn)該信息傳輸加密問題并非個案。百度、騰訊等都存在明文傳輸或加密級別不夠等問題。

也就是說，國內(nèi)的互聯(lián)網(wǎng)廠商對于不涉及敏感信息的地理位置信息、設備信息等大多采用類似的傳輸加密方式，該國外機構(gòu)的質(zhì)疑一定程度上給中國互聯(lián)網(wǎng)行業(yè)的移動應用信息傳輸加密通用標準提出了整體挑戰(zhàn)。

以下是兩大主流手機瀏覽器——騰訊手機QQ瀏覽器、百度手機瀏覽器的測試結(jié)果：

百度地圖僅做簡單加密，騰訊地圖則根本未加密

百度瀏覽器的地圖第三方SDK使用的是百度地圖的網(wǎng)絡定位服務。百度地圖沒有采用安全級別更高的HTTPS加密方式，只是在本地利用一個.so進行加密，便可在虛擬機上利用這個.so抓取Baidu的數(shù)據(jù),如下圖：

而QQ手機瀏覽器的地圖第三方SDK使用的是騰訊地圖的網(wǎng)絡定位服務，騰訊地圖在客戶端采用的是明文存儲(用戶信息、時間、定位信息、POI信息等)，情況，如下圖：

百度手機瀏覽器和QQ瀏覽器消息推送SDK都明文傳輸了IMEI等設備信息

針對手機瀏覽器使用的消息推送SDK進行分析，我們也能看到QQ瀏覽器在運行過程中將IMEI等設備信息明文傳輸?shù)椒掌鳌?/p>

我們進行簡單分析：對QQ瀏覽器測試的機主的手機信息如下圖：

網(wǎng)絡劫包工具抓取的QQ瀏覽器與的通訊請求post的數(shù)據(jù)體，該數(shù)據(jù)經(jīng)過標準的url編碼，解碼后能清晰的看到用戶imei等信息被明文發(fā)送到服務器。

QQ瀏覽器在傳輸過程中，IMEI等設備信息被明文發(fā)送到服務器,如下圖：

同樣，在對百度手機瀏覽器使用的信息推送SDK進行分析后發(fā)現(xiàn)，其傳輸數(shù)據(jù)針對IMEI等信息只是做了倒序處理，基本沒有加密作用。同時百度手機瀏覽器中用于URL的加密算法仍然是對稱加密算法，是可以通過破解客戶端來得到解密算法還原加密信息的。

用于分析百度瀏覽器的手機信息見下圖：

通過網(wǎng)絡劫包工具抓取的百度瀏覽器與的通訊請求頭發(fā)現(xiàn)，其POST的數(shù)據(jù)體雖然是加密的數(shù)據(jù)，但進行簡單解密之后發(fā)現(xiàn)只是對關(guān)鍵信息做了一個倒序的處理，如下圖：

而且這個通訊請求得到的結(jié)果，是以明文回傳的用戶地址信息，如下圖：

手機百度瀏覽器、QQ瀏覽器的搜索關(guān)鍵詞請求也都是明文傳輸

同時，記者對手機QQ瀏覽器、手機百度瀏覽器以及其默認使用的搜狗搜索和百度搜索的搜索關(guān)鍵詞傳輸也進行了測試，結(jié)果發(fā)現(xiàn)搜索請求均采用了明文傳輸?shù)姆绞健?/p>

手機QQ瀏覽器，默認使用搜狗搜索，在請求頭里出現(xiàn)了搜索詞，見下圖：

手機百度瀏覽器，默認使用百度搜索，在請求頭里出現(xiàn)了搜索詞，見下圖：

注：

針對此次國外人權(quán)機構(gòu)提出的國內(nèi)移動應用信息傳輸加密風險，是指中國主流的移動應用在使用一些第三方應用的SDK時，在涉及傳輸一些不敏感的地理信息及設備相關(guān)信息時，加密級別不夠高，存在被攻破風險。

國內(nèi)應用針對非敏感類信息基本未使用非對稱加密算法(HTTPS),而是使用對稱加密算法進行數(shù)據(jù)傳輸，當SDK被人逆向分析就會導致密鑰泄漏。

IT耳朵微信號：erduomi

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！