协策网络,专业做网站,优秀上海网站制作公司,提供企业建站、网站设计、网页制作,专业网页设计师和网站制作技术工程师为您量身打造个性企业电子商务网站。

此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

  文章汇总 Article Summary
当前位置:协策网络 >> 文章中心 >> 行业动态 >> 浏览文章
 

UC浏览器被曝使用明文密码 2亿用户或面临安全威胁

作者:协策网络-客服部    标签:网站改版     日期:2012年02月22日    类别:行业动态

 

去年底爆发的PC互联网泄密风波正扩散至移动互联网领域。昨日,一位自称初级黑客的网友在天极网群乐论坛发布名为《有图有真相 你还敢用UC上网吗?》的帖子,公布其轻松窃取UC手机浏览器用户个人信息及密码的过程。专家指出,该泄密问题有可能威胁到2亿手机用户。

  名为“妖妃娘娘”的黑客详细演示了如何用“Win7系统电脑、无线热点和Wireshark软件”窃取UC用户个人信息和密码的过程。“妖妃娘娘”称,即便初级黑客按照所设置网络教程,仅需两个小时即能掌握,熟练后“15分钟就OK了”,而如此容易的原因在于使用UC浏览器登录的用户名和密码均使用明文密码。

  专业人士向记者介绍,所谓“明文密码”,简单讲就是网站保存密码或网络传送密码的时候,用的是可以看得懂的明文字符,而不是经过加密后的密文。明文密码意味着只要能打开数据库文件的人,即使不是IT技术高手,也可以像查看记事本一样获取被盗用户的信息,其安全性之低不言而喻。

  此前曝出的知名程序员网站CSDN(微博) 600万用户和天涯社区4000万用户数据泄密事件恰恰与明文密码有重大关系。这一轮泄密风波甚至引发整个互联网登录网站“必改密码”风潮。

  记者注意到,上述黑客演示的是从手机浏览器登录Windows Live、Gmail时提交的用户名和密码。按照该黑客说法,测试UC浏览器只是因前段时间“泄密门”而对手机上网产生担忧。

  “按照UC官方公布的数字,UC浏览器的用户数早已超过2亿,若发生大规模密码泄露事件,波及面恐比CSDN或者天涯社区更广。”一位不愿透露姓名的业内人士对记者表示,“UC作为手机上网的入口,用户通过UC登录任何一家网站,其提交的用户信息和密码都有可能被黑客截取”。

  对于上述泄密担忧,UC优视公司昨晚在给本报发来的回复中强调,这一情况只有在极端情况下才可能出现。“这一情况的本质是用户访问了钓鱼WIFI,用户一旦访问了钓鱼WIFI,任何应用都会存在泄露个人信息的风险,与通过何种应用进行访问无关。”

  事实上,随着智能手机和3G网络的普及,通过手机上网已成常态。根据最新数据统计,中国手机上网的用户已经超过3.56亿,手机上网安全越发受到重视。

  易观国际(微博)分析师刘鹏指出,手机安全风险以往主要来自恶意程序、病毒木马等层面,目前基于联网的普遍性和便利性,账号登录体系涉及的个人信息隐私风险越发严重,登录客户端或者通过浏览器登录网站,手机网民遗留个人信息的地方越来越多,逐渐成为黑客和违法分子关注的重点。

  “浏览器厂商和网站都需要承担用户泄密风险,因为浏览器现在普遍提供账号密码保存功能,甚至扩展到云存储、账号打通等领域。”刘鹏认为,手机安全问题越来越复杂,需要从操作系统、应用程序开发商、浏览器厂商以及网站各方协同解决。

  UC公司则建议用户在访问公共WIFI时要特别注意识别钓鱼WIFI,保护上网安全。韩玮/制表

  有图有真相 你还敢用UC上网吗?一位初级黑客的自白

  作为一枚资深网虫外加一位热爱技术的初级黑客,近日各大网站的“泄密门”事件已将俺深度击中,在迅速在电脑上修改完自己各网上银行及支付宝密码后,俺想到这手机上的门是否也上了锁?花在手机上的上网流量每月都150M嘞,上微博、查邮件、查淘宝/查京东账单已经全部在上手机搞掂,不验证一下是不能踏实的。

  不试还真不知道,UC是俺手机上网的第一道入口,没想到将俺的账号密码轻松被拿下了,俺紧急将自己作为初级黑客试验盗取“账户名密码”的全部教程发布如下,提醒使用UCWEB手机上网的用户尽快注意安全问题。

  盗号黑客教程第一步:设置一个网络环境,让小鱼进你的网,你来抓包

  作案地点选择:星巴克,麦当劳等通常有无线热点的地方(俺在家里,假装在星巴克)

  技术平台:Win7电脑一台,无线网络一套,Wireshark软件

  方法:用百度搜索一个相关的使用介绍的方法,设置无线热点AP, 为了让更多的手机用户连接(被欺骗)到该热点, 命名 SSID 为 Starbucks 2,且不设密码。

  

点击浏览下一页

 

  (虚拟图示1:建立无线网络环境)

  盗号黑客教程第二步:小鱼触网第一步,毫无知觉链上假冒的无线网络环境。

  方法:当星巴克的客户在品尝咖啡时,一般会拿出手机上上网, 在接入 WIFI 热点时, 会同时搜索到星巴克的官方 WIFI 热点和带有欺骗性质的Starbucks 2 热点, 此时因为 Starbucks 2 热点不需要密码, 则很多用户会首先连接该热点。

  盗号黑客教程第三步:小鱼入网了,通过用户名和密码进入网站,抓住HTTPS网站的信息。

  方法:当连接到该热点的用户使用手机上的 UC Web 联网时, 一旦使用了默认的 UC Web设置(设置 -> 系统设置 -> 云端加速打开), 则部分 HTTPS网站的信息会以如下方式被这位初级黑客截取到。

  演示过程:某用户访问 live 或者gmail等站点并登录账号时, 提交的用户名密码会以如下形式在 Wireshark 中被截取到:

  盗号黑客教程第四步:截取HTTPS信息,寻获未经UCWEB保护、明文显示的用户名和密码。

  步骤A. 启动 Wireshark

  步骤B. 点击左上角第一个图标, List the available capture interfaces… -> Start

  步骤C. 截取 HTTP 请求, 逐一查看 TCP Stream

  步骤D: 找到有用户名和密码的条目即可.

  

点击浏览下一页

 

  (虚拟图示2:看到你的TCP)

  

点击浏览下一页

 

  

点击浏览下一页

 

  (虚拟图示3&4:寻获未经UCWEB保护、明文显示的用户名和密码)

  俺只是一名初级黑客呀,按照黑客们常用的网络抓号教程,全部过程只用了2小时,待俺熟练之后,重新来设置不用15分钟就OK了,拿GF的手机一试,也是轻松拿下。因此,在这里特别广大的手机用户,如果你用UCWEB登录网页,请一定注意接入网络的真假,如果用其它浏览器,最好也小心点儿。当然,从安全考虑,当下卸载掉UC更安全些吧。



更多
  您可能感兴趣的文章推荐  
 
上一篇:广告应用成门户网站提高用户满意度关键 下一篇:公安查处违规互联网服务单位1075家
协策网络公司拥有专业的网站建设开发团队,超过四年以上的网站建设、网页制作经验,我们可承接企业电子商务网站建设、企业展示型网页设计和功能型网站制作等各类型网站设计制作。
     
首 页  |  基础服务  |  网站建设  |  网站优化  |  成功案例  |  协策博客  |  关于我们  |  联系我们
COPYRIGHT © 上海协策网络科技有限公司 2008-2014 网站地图 SITEMAP 上海做网站公司 沪ICP备08009778号

地址:上海市共和新路425号凯鹏国际大厦13楼G座(近3、4、8号线)

电话:021-51085186 传真:021-56555059 咨询:+(86)18018609689
上海做网站建设网页设计制作公司