5月22日,继昨日国外媒体对阿里巴巴旗下UC浏览器信息传输加密级别不够进行质疑后,新华社中国网事对此刊发一份调查。调查显示,国内大多数手机应用针对地理位置、普通设备识别码等不敏感信息均采用类似加密方式,比如手机百度、百度手机浏览器、百度地图、腾讯地图、QQ浏览器、京东商城客户端等应用都存在明文传输或加密级别不够等问题。
其实,目前被国外媒体质疑的加密不够的信息只是一些地理位置、普通设备识别码等。由于并不涉及用户敏感信息,国内互联网公司大多对这些信息进行明文传输或采取较低级别的对称加密方式。
正如一个网友评论:这些信息又不是私人信息,用地图不拿用户位置信息怎么定位?打电话不拿用户信息怎么来电显示?还有内容精准推送?就是拿一些通用信息而已,对用户隐私没有任何影响。
不管如何,国外媒体的质疑一定程度上给中国互联网行业的移动应用信息传输加密通用标准提出了整体挑战。针对此类信息是否需要提升加密信息级别是国内互联网公司面临的普遍问题。国外报道刊发后,阿里巴巴回应对安全问题高度重视,UC浏览器已在第一时间提高信息安全加密级别,不再存在报道中提及的风险。
以下是新华社中国网事刊发的国内主流应用的测试结果:
百度地图仅做简单加密,腾讯地图则根本未加密
百度浏览器的地图第三方SDK使用的是百度地图的网络定位服务。百度地图没有采用安全级别更高的HTTPS加密方式,只是在本地利用一个.so进行加密,便可在虚拟机上利用这个.so抓取Baidu的数据,如下图:
而QQ手机浏览器的地图第三方SDK使用的是腾讯地图的网络定位服务,腾讯地图在客户端采用的是明文存储(用户信息、时间、定位信息、POI信息等),情况,如下图:
百度手机浏览器和QQ浏览器消息推送SDK都明文传输了IMEI等设备信息
针对手机浏览器使用的消息推送SDK进行分析,我们也能看到QQ浏览器在运行过程中将IMEI等设备信息明文传输到服务器。
我们进行简单分析:对QQ浏览器测试的机主的手机信息如下图:
网络劫包工具抓取的QQ浏览器与http://wup.imtt.qq.com:8080的通讯请求post的数据体,该数据经过标准的url编码,解码后能清晰的看到用户imei等信息被明文发送到服务器。
QQ浏览器在传输过程中,IMEI等设备信息被明文发送到服务器,如下图:
同样,在对百度手机浏览器使用的信息推送SDK进行分析后发现,其传输数据针对IMEI等信息只是做了倒序处理,基本没有加密作用。同时百度手机浏览器中用于URL的加密算法仍然是对称加密算法,是可以通过破解客户端来得到解密算法还原加密信息的。
用于分析百度浏览器的手机信息见下图:
通过网络劫包工具抓取的百度浏览器与http://loc.map.baidu.com/sdk.php的通讯请求头发现,其POST的数据体虽然是加密的数据,但进行简单解密之后发现只是对关键信息做了一个倒序的处理,如下图:
而且这个通讯请求得到的结果,是以明文回传的用户地址信息,如下图:
手机百度浏览器、QQ浏览器的搜索关键词请求也都是明文传输
同时,记者对手机QQ浏览器、手机百度浏览器以及其默认使用的搜狗搜索和百度搜索的搜索关键词传输也进行了测试,结果发现搜索请求均采用了明文传输的方式。
手机QQ浏览器,默认使用搜狗搜索,在请求头里出现了搜索词,见下图:
手机百度浏览器,默认使用百度搜索,在请求头里出现了搜索词,见下图:
京东商城客户端、手机百度同样明文传输用户设备信息
京东商城同样采用相同数据传输相同方式:从以下测试中可以看出,京东商城客户端首次启动就会向自己服务器发送用户IMEI等设备信息,而这些信息都是明文传输方式。
用于分析的手机信息如下图:
京东商城客户端与服务器通讯的网络请求头如下图:
京东商城客户端与服务器通讯的网络请求数据体,可以看到用户的IMEI信息经过简单的URL编码后明文传输
手机百度在地理位置sdk的通讯中上传收集了用户的IMEI等设备新息,虽然传输过程对数据做了加密处理但是强度较低,可以通过对本地客户端的逆向破解来截获网络传输中的加密数据。
用于分析手机百度的手机信息如下:
网络劫包工具抓取的百度浏览器与http://loc.map.baidu.com/sdk.php的通讯请求头如下图:
网络劫包工具抓取的百度浏览器与http://loc.map.baidu.com/sdk.php的通讯请求post的数据体显示是加密状态,但经过简单解密破解还原出的明文数据,注意红框的部分就是用户imei,只是做了一个倒序的处理,且请求结果以明文回传用户地址信息
手机百度用于URL加密算法,经测试该算法类似但是做了较大改动,不过仍然是对称加密算法,是可以通过破解客户端来得到解密算法还原加密信息的。
注:
针对此次国外人权机构提出的国内移动应用信息传输加密风险,是指中国主流的移动应用在使用一些第三方应用的SDK时,在涉及传输一些不敏感的地理信息及设备相关信息时,加密级别不够高,存在被攻破风险。
国内应用针对非敏感类信息基本未使用非对称加密算法(HTTPS),而是使用对称加密算法进行数据传输,当SDK被人逆向分析就会导致密钥泄漏。
国外报告出来后,阿里巴巴公司已提高信息安全加密级别,因此暂不对其应用进行评测。
