UCWEB不懂加密？

之前我就一直在想，UCWEB通过中转服务器打开SSL页面，加密程度怎么保证？
毕竟，从手机上的记录看来，它只访问了uc.ucweb.com访获取中转务器，然后就只跟ucs12.tj.ucweb.com:8085通讯了。我不禁开始怀疑他们自定的压缩传输协议还有没有SSL的成分。

于是我想到了抓包。

WM手机虽说万能，但没有平铺窗口管理器，只能同时显示一个程序，还是非常不方便的。我显然要用另一部设备来抓包。
怎么办呢？

首先我想到了嗅探器。但用嗅探器来扫WiFi网络显然太暴力了，而且可能让家里的路由器吃不消。
能不能让手机所有流量都通过电脑呢？我祭出了多年没用过的ActiveSync。
ActiveSync还会禁止手机上一切对外互联网连接，正合我意！尽管这曾是我最鄙视的功能，现在却能确保我可以抓到一切数据了。

以下就是我用WinSockExpert监控Wcescomm.exe（ActiveSync主程序）的流量情况。
（弄了半天才让AS消停下来，不去访问Google同步服务器了……）

使用UCWEB在Google搜索”test long word string get longlonglong”

看得出UC是不会对地址进行压缩的……压缩的应该只有返回的页面内容。他们只是改了HTML的语法，省略了不少东西，因此后面数据包的内容也没什么HTML语言的样子。
这就是“节省50%流量”的秘诀。

然后我就开始试着在SSL连接里用密码登录了。
这是我在Gmail的登录页面登录的结果。为方便辨认，我还特意临时把自己的密码改成了“MyNewPasswordJustForTest”。

果然，一切都是明文发送的。
Gmail已经是全程SSL了，其他的126什么的我觉得没必要试了……

这也就意味着，任何第三方都可以在传输途中截获Gmail的密码！
所以，各位小心。

也许有人说，所有的登录密码都可以被截获……
也许有人说，手机计算能力不够没法在本地完成SSL解密……
此两人为缺乏常识。
这是使用Opera Mobile（不是Opera Mini）登录时的结果。

自安全连接建立之后，啥都是乱码了。
除了知道我不习惯打Https因而从http://mail.google.com跳转入安全连接、我访问的是Google服务器、服务器经过Thawte验证身份之外，其他第三方啥都不知道。
这真的是所谓国产软件和国外的差距吗？我想UC公司的技术实力应该不至于开发不出SSL加、解密，只是态度问题罢了。
这种事连Pocket IE都能做到，你做不到，情何以堪？开发人员不如去死啦……

奉劝所有曾在UCWEB的“安全连接”中输入过重要帐户的密码的各位，尽快修改，以防万一。
并且，更换一款真正支持SSL的浏览器。

正文结束，以下为废话。
技术数据：
我使用的是WM6.5 23612
ActiveSync 4.5 5096
UCWEB6.3 (很旧了，因为可以自定义服务器。)
我不认为UC更新后就可以SSL了，更新只会变得更难掌控。
Opera Mobile 10 (这没什么关系吧？Opera不会因为升级去除SSL这样基本的功能。)
特别鸣谢：Google Codes让我下载到了WSockExpert，WSockExpert让我找到了UCWEB的缺陷，UCWEB逼我改了个更强壮的密码……

Update:
我顺便看了看Opera Mini的情况。
这是很多人都在使用的“中国版”，不过对于测试是足够了。

今天下午我的手机坏了，因此改用虚拟器进行实验，效果如下。
IE在普通连接里是会泄漏连接内容的：

这是Opera Mini启动后，打开Google.com的流量。可以看出全部是加密——至少是扰乱——的。

虽然测试已经可以到此为止了，我还是把密码又改成了“MyNewPasswordForTest”，继续：

使用Opera Mini登录Gmail时的流量：

使用Pocket IE登录Gmail时的流量：

（连接的两个IP都是Google数据中心，至于为什么有两个？也许是因为mail.google.com和www.google.com解析结果不同。）

其实Opera Mini的加密流量和SSL建立之后的加密流量还是很难分辨的。至少，我是看不到我的明文密码的。

还是请各位注意，Opera Mini能在服务器端获取你的密码，因为整个页面是在服务器端完成解析、提交的。只要你足够信任Opera，你可以放心的输入密码登录的，因为没有第四者可以获取密码。
但是，如果你用的是OPM“中国版”……
我不建议你使用，理由很简单，我不信任它，仅此而已。原因？那部服务器是放置在国内的。
“59.151.127.255 北京市世纪互联”
众所周知的理由我就不多说了。

依然推荐大家使用本地浏览器，比如优秀的Opera Mobile，卡到死的Fennec，效果惨不忍睹的IE……这些软件都可以进行真正的安全连接。
祝大家手机上网愉快。

2010 年 09 月 23 日

SSL, Ucweb, 手机

技术派