UC瀏覽器被曝使用明文密碼 2億用戶或面臨安全威脅

0 評論 3513 瀏覽 0 收藏 9 分鐘

商報訊 (記者 張緒旺) 去年底爆發的PC互聯網泄密風波正擴散至移動互聯網領域。昨日,一位自稱初級黑客的網友在天極網群樂論壇發布名為《有圖有真相 你還敢用UC上網嗎?》的帖子,公布其輕松竊取UC手機瀏覽器用戶個人信息及密碼的過程。專家指出,該泄密問題有可能威脅到2億手機用戶。

名為“妖妃娘娘”的黑客詳細演示了如何用“Win7系統電腦、無線熱點和Wireshark軟件”竊取UC用戶個人信息和密碼的過程?!把锬铩狈Q,即便初級黑客按照所設置網絡教程,僅需兩個小時即能掌握,熟練后“15分鐘就OK了”,而如此容易的原因在于使用UC瀏覽器登錄的用戶名和密碼均使用明文密碼。

專業人士向記者介紹,所謂“明文密碼”,簡單講就是網站保存密碼或網絡傳送密碼的時候,用的是可以看得懂的明文字符,而不是經過加密后的密文。明文密碼意味著只要能打開數據庫文件的人,即使不是IT技術高手,也可以像查看記事本一樣獲取被盜用戶的信息,其安全性之低不言而喻。
此前曝出的知名程序員網站CSDN(微博) 600萬用戶和天涯社區4000萬用戶數據泄密事件恰恰與明文密碼有重大關系。這一輪泄密風波甚至引發整個互聯網登錄網站“必改密碼”風潮。

記者注意到,上述黑客演示的是從手機瀏覽器登錄Windows Live、Gmail時提交的用戶名和密碼。按照該黑客說法,測試UC瀏覽器只是因前段時間“泄密門”而對手機上網產生擔憂。

“按照UC官方公布的數字,UC瀏覽器的用戶數早已超過2億,若發生大規模密碼泄露事件,波及面恐比CSDN或者天涯社區更廣?!币晃徊辉竿嘎缎彰臉I內人士對記者表示,“UC作為手機上網的入口,用戶通過UC登錄任何一家網站,其提交的用戶信息和密碼都有可能被黑客截取”。

對于上述泄密擔憂,UC優視公司昨晚在給本報發來的回復中強調,這一情況只有在極端情況下才可能出現。“這一情況的本質是用戶訪問了釣魚WIFI,用戶一旦訪問了釣魚WIFI,任何應用都會存在泄露個人信息的風險,與通過何種應用進行訪問無關。”

事實上,隨著智能手機和3G網絡的普及,通過手機上網已成常態。根據最新數據統計,中國手機上網的用戶已經超過3.56億,手機上網安全越發受到重視。

易觀國際(微博)分析師劉鵬指出,手機安全風險以往主要來自惡意程序、病毒木馬等層面,目前基于聯網的普遍性和便利性,賬號登錄體系涉及的個人信息隱私風險越發嚴重,登錄客戶端或者通過瀏覽器登錄網站,手機網民遺留個人信息的地方越來越多,逐漸成為黑客和違法分子關注的重點。
“瀏覽器廠商和網站都需要承擔用戶泄密風險,因為瀏覽器現在普遍提供賬號密碼保存功能,甚至擴展到云存儲、賬號打通等領域。”劉鵬認為,手機安全問題越來越復雜,需要從操作系統、應用程序開發商、瀏覽器廠商以及網站各方協同解決。

UC公司則建議用戶在訪問公共WIFI時要特別注意識別釣魚WIFI,保護上網安全。韓瑋/制表

有圖有真相 你還敢用UC上網嗎?一位初級黑客的自白

作為一枚資深網蟲外加一位熱愛技術的初級黑客,近日各大網站的“泄密門”事件已將俺深度擊中,在迅速在電腦上修改完自己各網上銀行及支付寶密碼后,俺想到這手機上的門是否也上了鎖?花在手機上的上網流量每月都150M嘞,上微博、查郵件、查淘寶/查京東賬單已經全部在上手機搞掂,不驗證一下是不能踏實的。

不試還真不知道,UC是俺手機上網的第一道入口,沒想到將俺的賬號密碼輕松被拿下了,俺緊急將自己作為初級黑客試驗盜取“賬戶名密碼”的全部教程發布如下,提醒使用UCWEB手機上網的用戶盡快注意安全問題。

盜號黑客教程第一步:設置一個網絡環境,讓小魚進你的網,你來抓包

作案地點選擇:星巴克,麥當勞等通常有無線熱點的地方(俺在家里,假裝在星巴克)

技術平臺:Win7電腦一臺,無線網絡一套,Wireshark軟件

方法:用百度搜索一個相關的使用介紹的方法,設置無線熱點AP,?為了讓更多的手機用戶連接(被欺騙)到該熱點,?命名?SSID?為?Starbucks 2,且不設密碼。

(虛擬圖示1:建立無線網絡環境)

盜號黑客教程第二步:小魚觸網第一步,毫無知覺鏈上假冒的無線網絡環境。

方法:當星巴克的客戶在品嘗咖啡時,一般會拿出手機上上網,?在接入?WIFI?熱點時,?會同時搜索到星巴克的官方?WIFI?熱點和帶有欺騙性質的Starbucks 2?熱點,??此時因為?Starbucks 2?熱點不需要密碼,?則很多用戶會首先連接該熱點。

盜號黑客教程第三步:小魚入網了,通過用戶名和密碼進入網站,抓住HTTPS網站的信息。

方法:當連接到該熱點的用戶使用手機上的?UC Web?聯網時,?一旦使用了默認的?UC Web設置(設置?->?系統設置?->?云端加速打開),?則部分?HTTPS網站的信息會以如下方式被這位初級黑客截取到。

演示過程:某用戶訪問?live?或者gmail等站點并登錄賬號時,?提交的用戶名密碼會以如下形式在?Wireshark?中被截取到:

 

盜號黑客教程第四步:截取HTTPS信息,尋獲未經UCWEB保護、明文顯示的用戶名和密碼。

步驟A.?啟動?Wireshark
步驟B.?點擊左上角第一個圖標, List the available capture interfaces… -> Start

步驟C.?截取?HTTP?請求,?逐一查看?TCP Stream

步驟D:?找到有用戶名和密碼的條目即可.

(虛擬圖示2:看到你的TCP)

 

 

(虛擬圖示3&4:尋獲未經UCWEB保護、明文顯示的用戶名和密碼)

俺只是一名初級黑客呀,按照黑客們常用的網絡抓號教程,全部過程只用了2小時,待俺熟練之后,重新來設置不用15分鐘就OK了,拿GF的手機一試,也是輕松拿下。因此,在這里特別廣大的手機用戶,如果你用UCWEB登錄網頁,請一定注意接入網絡的真假,如果用其它瀏覽器,最好也小心點兒。當然,從安全考慮,當下卸載掉UC更安全些吧。

 

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
評論
評論請登錄
  1. 目前還沒評論,等你發揮!