查看: 14680|回复: 60
收起左侧

[讨论] Mcafee发现的有关新浪微博和搜狗输入法的一些事

  [复制链接]
欧阳宣
头像被屏蔽
发表于 2015-1-18 18:21:58 | 显示全部楼层 |阅读模式
本帖最后由 欧阳宣 于 2015-1-18 18:25 编辑

https://blogs.mcafee.com/mcafee-labs/apps-sending-plain-http-put-personal-data-risk
…………………………
Weibo: social media chat easily sniffed or spoofed
Weibo is a Chinese social media platform like Twitter or Facebook. You post your status, chat with your friends, etc. Now suppose you post a message as follows in Weibo:
微博是一个类似脸书和推特的中国社交平台,你可以发表状态,和朋友聊天等等。下面假如你在微博上发了这么一条:
You can see what’s being sent to the Weibo backend by capturing the traffic from Wireshark:
用wireshark可以查看被发送到微博后台的数据。
And the cookie is there for an attacker to harvest or even alter your post message via a[size=15.1200008392334px]man-in-the-middle attack.
cookies就那么放在那里等人收割,甚至允许中间人攻击来改变你发布的内容。
You may ask Who cares? This is a post on social media and is meant to be public. But what about your private chats with friends? We sent the following message via the chat window:
你可能会说Who TM Cares?社交媒体上发布的东西本来就是公开的。但是你和你朋友的私信聊天呢?我们从私信窗口发送了如下消息。
Again Wireshark shows us exactly the text, without encryption, begging for an attack (such as modifying the chat, injecting malicious links, etc.). There’s no privacy here!
Wireshark再一次展示了消息原文是如何在没有任何加密的情况下被传输的,这样为消息修改,注入恶意代码成为了可能。隐私已荡然无存。

Sogou sends device data via plain HTTP
[size=15.1200008392334px]Sogou is the most popular Chinese input-method editor, claiming more than 400 million installations. Users benefit from hints to optimized words without having to fully spell them out in Pinyin). (Instead of typing ni hao for “hello”, for example, you type just “nh.”)
搜狗是中国最流行的中文输入法,声称有超过4亿人安装。用户习惯了它带来的对拼音的简化输入。
That’s all we want from a language input editor, and that’s why we installed it on a Windows 7 machine. However, when we connected an iPod via USB to this machine, we saw the following captured on Fiddler:
这也是我们对输入法的唯一需求。我们将其安装在最主流的win7机器上。但是当我们将一个iPod用USB连接到机器上时,我们通过fiddler看到了如下信息。
At first glance the preceding data may not seem like much, but it leads to a question: Why would a language input editor want to know “the user has connected an iOS device (iPod5), it is running on iOS 7.0, the serial number is “650…,” and it is connected via the USB hub “USB#ROOT_HUB20#48…”?
第一眼看上去触发的数据不是很多,但是问题来了:一个输入法为何要知道“用户已接入一个iOS设备,运行iOS7.0,序列号为650***”,以及USB借口的编号?
When we connected an Android phone, Fiddler showed a similar data collection:
当我们连接一个安卓手机时,fiddler显示了类似的数据连接。
Collecting device information in these scenarios is not something we expect or appreciate from language-input software. What is scarier is that the plain-HTTP transport invites attacks in the world full of poisoned mobile hotspots.以上案例中的收集设备信息的行为我们是不想在一个输入法上看到的。更可怕的是明文的HTTP传输在这么一个充满被感染的移动热点的世界简直是在求黑求攻陷。





评分

参与人数 4分享 +1 人气 +3 收起 理由
a110 + 1 感谢提供分享
a330391 + 1 感谢提供分享
钢铁侠 + 1 版区有你更精彩: )
勇者无敌 + 1 为了个人通讯安全建议加密或者啥都不说

查看全部评分

勇者无敌
头像被屏蔽
发表于 2015-1-18 18:37:34 | 显示全部楼层
看完文章
然后再看了下签名
果然签名变成咖啡
心痛的伤不起
发表于 2015-1-18 18:43:02 | 显示全部楼层
10m宽带了啊,这综合症算是治不好了把,2m的我就从来没有综合症,更新慢啊
欧阳宣
头像被屏蔽
 楼主| 发表于 2015-1-18 18:50:50 | 显示全部楼层
y3312068 发表于 2015-1-18 18:43
10m宽带了啊,这综合症算是治不好了把,2m的我就从来没有综合症,更新慢啊

以前也是2M,情况比现在好多了- -

评分

参与人数 1人气 +1 收起 理由
白露为霜 + 1 感谢支持,欢迎常来: )

查看全部评分

聽莧
发表于 2015-1-18 19:14:25 来自手机 | 显示全部楼层
可惜了,真正关注这个问题的人,又有多少
欧阳宣
头像被屏蔽
 楼主| 发表于 2015-1-18 19:58:10 | 显示全部楼层
聽莧 发表于 2015-1-18 19:14
可惜了,真正关注这个问题的人,又有多少

其实我想了一下,微博不加密用户数据很有可能是有意为之,后面就不多说了。
a908499916
发表于 2015-1-18 21:53:29 | 显示全部楼层
水下一,早已经换上了谷歌拼音输入法,ie11
钢铁侠
发表于 2015-1-18 22:02:31 | 显示全部楼层
说明国内厂商对个人隐私的重视程度远远不够
Eif-Hill
头像被屏蔽
发表于 2015-1-18 22:24:15 | 显示全部楼层
国产,用也要做到防火墙拉黑的准备
聽莧
发表于 2015-1-18 22:41:31 | 显示全部楼层
欧阳宣 发表于 2015-1-18 19:58
其实我想了一下,微博不加密用户数据很有可能是有意为之,后面就不多说了。

或许吧,国内的隐私什么的,水很深,很难说清楚
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 01:00 , Processed in 0.138445 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表