青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 谷歌到底怎么绕过浏览器的隐私设定人际关系学之腾讯 »

UC浏览器被指明文传输用户密码

  去年底爆发的互联网泄密风波正扩散至移动互联网领域,日前,一位自称初级黑客的网友在天涯网发布《有图有真相 你还敢用UC上网吗?》的帖子,声称UC浏览器使用明文的方式传输用户密码,导致第三方可以轻松窃取UC浏览器用户登录各个网站的用户名和密码。

  该文章给出了一个教程,通过笔记本电脑在星巴克、麦当劳等人流密集地区伪造无密码的无线热点AP,在电脑上安装Wireshark软件进行抓包,如果用户使用UC浏览器登录Gmail、Hotmail等网站,用户提交的用户名和密码就会被Wireshark截获,使得原本安全的HTTPS连接信息,包含用户名和密码都遭到明文泄漏。在稍后的一篇文章中,该用户还测试了其他品牌的手机浏览器。

  为了验证UC浏览器是否真的明文传输密码,我在自己的电脑上进行了实测,电脑端用ADSL拨号上网,然后将电脑的无线网卡模拟出一个无线热点AP,在手机上安装苹果美国商店App Store的最新UC浏览器V8.2.1.132,手机端通过这个WiFi热点上网。

UC浏览器

  在手机上打开UC浏览器,然后访问Gmail登录,同时在电脑上启用Wireshark进行抓包监听,我测试登录的用户名为williamlong,密码为1234567890123,登录完成后停止抓包然后进行分析,抓包的截图显示该用户名和密码为明文传输,通讯协议为HTTP,连接的是广州的一台服务器,这证明了原有的HTTPS安全连接遭到了破坏。

UC浏览器被指明文传输用户密码

  为什么HTTPS是安全的?

  HTTPS(超文本传输安全协议,Hypertext Transfer Protocol Secure)是一种常见的网络传输协议,提供客户端和服务器的加密通讯,HTTPS的主要思想是在不安全的网络上创建一安全信道,对监听和中间人攻击提供合理的保护。

  我们知道,HTTP是不安全的,通过监听和中间人攻击等手段,可以获取网站帐户和敏感信息等,HTTPS被设计为可防止前述攻击,并被认为是安全的。

  比如上面这个案例,通过伪造WiFi热点进行抓包监听,如果手机使用原生浏览器的话,通常来说,是无法监听到HTTPS方式访问的内容,HTTPS通讯内容均为加密信息,很难被破解。但是所有的HTTP访问信息都会被获取,如果用户使用HTTP访问一些隐私信息,则存在隐私泄漏的风险,例如用户使用百度搜索(目前百度只有HTTP版本),那么搜素的关键词就会被第三方监听,从而带来泄密的风险,这也就是2010年5月Google在全球部署HTTPS加密搜索的原因了,有了HTTPS版本的Google搜索,手机用户即使在不安全的无线热点进行搜索,其搜索的内容也不会被人窃取。

  可见普通的HTTP浏览是不安全的,而HTTPS浏览相比比较安全。

  UC浏览器的问题

  从上面的分析可知,使用手机内置的浏览器,在不安全的WiFi下访问HTTPS仍然是相对安全的,然而UC浏览器是一种中转压缩的技术进行加速,实现快捷上网,节省用户流量,这样,所有的访问都通过UC的代理服务器整理后传送UC浏览器客户端。当用户通过UC浏览器登录Gmail的时候,UC浏览器会把用户访问的URL地址和提交的信息发送到附近的一台UC服务器,这里存在的漏洞是,UC浏览器手机端和UC服务器之间的通讯是采用HTTP协议,并且包括用户名和密码在内的所有信息均为明文传输,这使得UC浏览器和UC服务器之间的通讯可以被监听和抓包,第三方可以通过这种方法获取手机用户的帐户密码等敏感信息,用户通过登录的任何网站都会被监听,包括邮箱、网站后台、网银、网上支付等。

  针对这个漏洞,UC产品总裁何小鹏在微博上表示,会在之后重新评估,如何更全面的保护用户的手机上网安全和信息安全,同时提供一个较好的手机上网安全增强方案。

  对UC用户的建议

  目前使用UC浏览器的用户,在麦当劳、星巴克等公共场所上网的时候,尽量不要使用未知的WiFi热点,如果使用的话,只要不进行登录操作,只是纯粹浏览网页,就没有安全性问题。如果需要登录的话,应该在UC浏览器中关闭其加速代理服务,然后再进行登录。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/3006.html
  • 文章排行:
  • 1.我是文静的Ld
  • 我就知道uc不安全。天朝的软件基本都不安全。
  • 2012/2/22 13:09:30   支持(63)反对(26) 回复
  • 2.杨紫阁
  • 百纳笑了,腾讯笑了。
  • 2012/2/22 12:40:25   支持(35)反对(16) 回复
  • 3.IsRun
  • 以前用过UC,感觉不是很好,就换Opera了,我个人觉得Opera还是比较实用的。
  • 2012/2/22 13:06:35   支持(31)反对(16) 回复
  • 4.钟小轩
  • 这几天一直关注,心惊惊啊!
  • 2012/2/22 14:21:08   支持(38)反对(23) 回复
  • 5.话筒静默
  • 关注。这些行业老大们,注意一下用户隐私会死吗?
  • 2012/2/22 13:13:22   支持(30)反对(16) 回复
  • 6.monyxie
  • 我还一直以为UC中转用的是加密连接。
  • 2012/2/23 14:26:53   支持(22)反对(9) 回复
  • 7.挨踢小茶
  • 很不错的,转走咯。
  • 2012/2/22 21:23:38   支持(25)反对(13) 回复
  • 8.张炎
  • 网络安全问题啊 UC是不是应该修整一下呢
  • 2012/2/24 9:47:56   支持(36)反对(24) 回复
  • 9.草民
  • 再来,谁说的使用2G/3G网络就安枕无忧?电脑可不可以连上2G/3G网络,可不可以进行抓包?由于掌上型只能设备和桌面型尤其是膝上型电脑的处理能力越来越接近,从功能来看界限变得越来越模糊,使用android进行抓包也不是不可行吧?没有研究过,恐怕之前就有win mobile或者win ce的网络抓包仪器,谁说的2G/3G网络就是安全的?
    还有那个wapi有什么鬼用?
  • 2012/2/28 11:06:48   支持(35)反对(23) 回复
  • 15.zengvv
  • 使用UC通过WiFi上网需登录时,应关闭其加速代理服务。
  • 2012/2/23 0:54:46   支持(27)反对(18) 回复
  • 16.kelvin_fly
  • 我靠!!!你大爷啊~~可是我没钱换个其他系统的手机啊
  • 2012/2/22 17:21:27   支持(28)反对(20) 回复
  • 17.Oo秋去-冬来oO
  • 完了,全漏了…没有 刀勒$换啊,还有东西安全吗
  • 2012/2/22 18:08:54   支持(25)反对(17) 回复
  • 18.乱语啊
  • 赶紧去谷歌的文章中去喷UC.....
  • 2012/2/22 12:44:29   支持(30)反对(23) 回复
  • 19.早尼
  • 好吧,如果我把它卸了我能用什么?求推荐!
  • 2012/2/22 13:34:40   支持(28)反对(21) 回复
  • 21.太阳照在肩上_露出腼腆的脸庞
  • 一直觉得uc 废…………
  • 2012/2/22 14:25:01   支持(28)反对(21) 回复
  • 22.刘学政博客
  • 估计会非常严重的影响专业人士的应用选择。
  • 2012/2/22 19:03:41   支持(23)反对(17) 回复
  • 23.Vincent_wan
  • 一直没用过,以后也不用
  • 2012/2/22 21:37:12   支持(21)反对(16) 回复
  • 24.风林寺美羽
  • 手机用这个,没办法不是智能的
  • 2012/2/22 13:42:25   支持(26)反对(22) 回复
  • 26.HiTiger0
  • 还是月光的文章写得好!所谓uc 不安全,纯粹扯淡!为此卸载uc ,因噎废食!
  • 2012/2/22 14:57:56   支持(27)反对(24) 回复
  • 28.FuckCPC
  • 哈哈,看来我后来讨厌迅雷360腾讯暴风等等一系列支那无良骗子产品是正确的选择!欢迎揭露更多!
  • 2012/2/22 17:43:42   支持(22)反对(19) 回复
  • 29.解未知数
  • 反正我用UC浏览器 上招行的手机支付,很别扭!
  • 2012/2/24 9:42:58   支持(25)反对(22) 回复
  • 30.techolics
  • 其实新浪的微盘云同步也是明文传内容的。
  • 2012/2/27 22:10:54   支持(23)反对(20) 回复
  • 31.Overmind
  • 使用gprs还会被抓包麽?我是塞班的ucweb
  • 2012/2/22 14:29:39   支持(24)反对(22) 回复
  • 32.小麦ueo博客
  • 额 UC还有这种漏洞呢。。
  • 2012/2/22 17:02:11   支持(22)反对(20) 回复
  • 33.风一样的排骨
  • 有人测试一下opera没?
  • 2012/2/22 13:46:17   支持(18)反对(17) 回复
  • 34.初一
  • 手机早已放弃使用UC浏览器,目前使用海豚浏览器中……
  • 2012/2/22 23:26:39   支持(17)反对(17) 回复
  • 36.代有彬
  • 幕后黑手是QQ手机浏览器还是Opera mini?好吧,我承认我又阴谋论了
  • 2012/2/22 12:53:00   支持(28)反对(29) 回复
  • 38.雕瑚
  • 抓包分析软件是Wireshark,比起我们瀚信的M-TRiX可差远了
  • 2012/2/23 2:19:31   支持(16)反对(17) 回复
  • 40.评论重要吗
  • 真不明白,为了要评论,就把链接去掉了,这样要这么多的评论有什么用呢?让人家评论呀?还有,你应该测试下其它他的浏览器,这样避免误解,说你是收了钱才写这文章的。
  • 2012/2/23 16:22:48   支持(21)反对(23) 回复
  • 41.BiuBiu-Biu
  • 最近这么多的网络不安全事件,怎么没见索赔的?
  • 2012/2/22 13:23:03   支持(17)反对(20) 回复
  • 42.FollowTheRabbit
  • 仔细看完全文,强烈建议大家立即停止使用UC浏览器。UC浏览器对HTTPS链接进行代理中转,问题出在从手机到代理服务器的连接没有使用HTTPS;其他手机浏览器无此问题。
  • 2012/2/22 14:05:39   支持(33)反对(36) 回复
  • 43.枫之零
  • 用UC都是为了省流浪的,WIFI下一般都换别的了,不过在移动网络下UC这样也不安全就是了
  • 2012/2/24 11:01:06   支持(18)反对(21) 回复
  • 44.范范范輝
  • UC在手机浏览器中占据了很大的份额呀
  • 2012/2/22 12:43:20   支持(23)反对(27) 回复
  • 45.坐禅的蝉
  • 马上删了uc,而且经常出现内存不足的提示
  • 2012/2/22 14:27:55   支持(27)反对(31) 回复
  • 46.流星天空
  • 遭得住啊……幸好uc手机只是上小说站,无所谓了……opera,你好
  • 2012/2/22 13:16:16   支持(20)反对(25) 回复
  • 47.怪盗披头三
  • 凡是深度整合各种乱七八糟资源的浏览器我都不用
  • 2012/2/22 13:28:52   支持(22)反对(27) 回复
  • 48.Love_莎莎_
  • 这东西怎么老拿出来说啊。。。。。。。。。。。注意钓鱼wifi不就行了吗?
  • 2012/2/22 14:33:44   支持(16)反对(21) 回复
  • 49.爱微博客
  • 还好从没用过UC,一般炒得太厉害的软硬件我都不用
  • 2012/2/22 14:46:19   支持(26)反对(31) 回复
  • 50.bush
  • 這麽看來,凡是用代理方式加速的第三方軟件都存在一定風險,因為我們並不知道他們轉存信息的方式到底如何
  • 2012/2/22 18:32:53   支持(22)反对(27) 回复
  • 51.酱油
  • 解决方法也很简单,UC本身就有wifi环境和WAP环境监测功能,在其中加上一项,wifi环境自动切换为无代理就可以了。。甚至UC可以顺势推出SSL加密代理选项,用途就是不安全环境中的安全上网。。。
  • 2012/2/22 13:00:33   支持(18)反对(24) 回复
  • 52.o0_路人甲_0o
  • 看来自己搭建中转服务器才是王道…
  • 2012/2/22 13:03:41   支持(27)反对(34) 回复
  • 53.tanglei
  • 网站:比如人人网。。明文传输
  • 2012/2/22 21:27:31   支持(26)反对(33) 回复
  • 55.笨拙哥
  • 笨拙哥表示,网络正处于高速迅猛发展的时期,漏洞的出现难以避免
  • 2012/2/23 21:15:37   支持(12)反对(19) 回复
  • 56.iBigNothing
  • UC在这方面确实很恶心,在服务器上保存用户的用户名和密码,已经很久了
    无语了 于 2012-7-21 18:18:29 回复
    UC浏览器,无法正常显示google账户的登录界面,而且UC浏览器,登录天涯论坛或者QQ空间,总是提示要重新登录。总是失效,明明就前一页登录的。而且即使是立即登录了,但是只要你使用了返回键,那么又得重新登录了。
  • 2012/2/22 12:25:52   支持(31)反对(39) 回复
  • 57.维科
  • 希望博主能多多分享一些好的博文,持续关注中
  • 2012/2/22 21:48:20   支持(16)反对(24) 回复
  • 58.Tracy
  • 没用过UC,应该和浏览器没什么关系吧~
  • 2012/2/24 14:47:49   支持(21)反对(29) 回复
  • 60.FollowTheRabbit
  • 这个好像和浏览器无关吧?跟网站设计有关。
  • 2012/2/22 13:51:08   支持(14)反对(24) 回复
  • 61.于航Barracuda
  • 以后需要输密码的时候避免用UC
  • 2012/2/22 23:33:25   支持(20)反对(30) 回复
  • 62.iBigNothing
  • 我经常在UC里面访问到别人的微博账号,论坛账号等等, 早就不敢再UC里面登陆任何网站了
  • 2012/2/22 12:32:40   支持(21)反对(32) 回复
  • 63.28刀
  • 初级黑客都不算,这就下个抓包器就一览无余。不过加密是网站自己的责任,浏览器只负责传输,怎么会是uc的问题?
    nuooo 于 2012-2-23 0:02:51 回复
    当然是UC的责任,它把原本加密的给搞成不加密的了,却不告诉你----你去上洗手间,但是全世界只有你不知道这个公厕的墙是玻璃做的----这就是目前UC做的事情
  • 2012/2/22 15:28:58   支持(16)反对(29) 回复
  • 64.wang
  • 写这文章的脑残。以偏概全。
    UC有不用中转的,你不用不就得了嘛。
    另外,你加密了中转怎么登陆,这样说路由器也不安全,因为,大家都懂的。
  • 2012/2/22 17:23:52   支持(30)反对(43) 回复
  • 66.草民
  • 1、根本不需要自建AP,抓包的关键是网络抓包软件把网卡驱动置于混杂模式,只要AP不限制混杂模式就可以抓到网络内的任何明文信息。
    2、谁说不是UC的错?就算是通过服务器进行代理还是可以进行加密,不加密的可能原因是为了流量小和速度快。这是本来是个取舍的问题,但是必须给出说明,请用户进行权衡和取舍。
  • 2012/2/28 11:01:19   支持(19)反对(33) 回复
  • 67.酱油
  • 这明显不是UC的错啊,通常用UC是使用移动2G网络上网,目的是快速且省流量,如果对代理服务器的连接也使用SSL的话,就肯定不会那么速度了。。鱼与熊掌不可兼得。。wifi环境下,谁还用UC?
    站长村 于 2012-2-24 10:48:03 回复
    这个明显不和UC有问题啊、、没看上面写的是用的WIFI嘛、你不用这个不就行了、而且这里面不一定没什么网站的。。。。
  • 2012/2/22 12:57:43   支持(21)反对(40) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.