UCWEB不懂加密?

之前我就一直在想,UCWEB通过中转服务器打开SSL页面,加密程度怎么保证?
毕竟,从手机上的记录看来,它只访问了uc.ucweb.com访获取中转务器,然后就只跟ucs12.tj.ucweb.com:8085通讯了。我不禁开始怀疑他们自定的压缩传输协议还有没有SSL的成分。

于是我想到了抓包。

WM手机虽说万能,但没有平铺窗口管理器,只能同时显示一个程序,还是非常不方便的。我显然要用另一部设备来抓包。
怎么办呢?

首先我想到了嗅探器。但用嗅探器来扫WiFi网络显然太暴力了,而且可能让家里的路由器吃不消。
能不能让手机所有流量都通过电脑呢?我祭出了多年没用过的ActiveSync。
ActiveSync还会禁止手机上一切对外互联网连接,正合我意!尽管这曾是我最鄙视的功能,现在却能确保我可以抓到一切数据了。

以下就是我用WinSockExpert监控Wcescomm.exe(ActiveSync主程序)的流量情况。
(弄了半天才让AS消停下来,不去访问Google同步服务器了……)

使用UCWEB在Google搜索”test long word string get longlonglong”

看得出UC是不会对地址进行压缩的……压缩的应该只有返回的页面内容。他们只是改了HTML的语法,省略了不少东西,因此后面数据包的内容也没什么HTML语言的样子。
这就是“节省50%流量”的秘诀。

然后我就开始试着在SSL连接里用密码登录了。
这是我在Gmail的登录页面登录的结果。为方便辨认,我还特意临时把自己的密码改成了“MyNewPasswordJustForTest”。


果然,一切都是明文发送的。
Gmail已经是全程SSL了,其他的126什么的我觉得没必要试了……

这也就意味着,任何第三方都可以在传输途中截获Gmail的密码!
所以,各位小心。

也许有人说,所有的登录密码都可以被截获……
也许有人说,手机计算能力不够没法在本地完成SSL解密……
此两人为缺乏常识。
这是使用Opera Mobile(不是Opera Mini)登录时的结果。


自安全连接建立之后,啥都是乱码了。
除了知道我不习惯打Https因而从http://mail.google.com跳转入安全连接、我访问的是Google服务器、服务器经过Thawte验证身份之外,其他第三方啥都不知道。
这真的是所谓国产软件和国外的差距吗?我想UC公司的技术实力应该不至于开发不出SSL加、解密,只是态度问题罢了。
这种事连Pocket IE都能做到,你做不到,情何以堪?开发人员不如去死啦……

奉劝所有曾在UCWEB的“安全连接”中输入过重要帐户的密码的各位,尽快修改,以防万一。
并且,更换一款真正支持SSL的浏览器。

正文结束,以下为废话。
技术数据:
我使用的是WM6.5 23612
ActiveSync 4.5 5096
UCWEB6.3 (很旧了,因为可以自定义服务器。)
我不认为UC更新后就可以SSL了,更新只会变得更难掌控。
Opera Mobile 10 (这没什么关系吧?Opera不会因为升级去除SSL这样基本的功能。)

特别鸣谢:Google Codes让我下载到了WSockExpert,WSockExpert让我找到了UCWEB的缺陷,UCWEB逼我改了个更强壮的密码……

Update:
我顺便看了看Opera Mini的情况。
这是很多人都在使用的“中国版”,不过对于测试是足够了。

今天下午我的手机坏了,因此改用虚拟器进行实验,效果如下。
IE在普通连接里是会泄漏连接内容的:

这是Opera Mini启动后,打开Google.com的流量。可以看出全部是加密——至少是扰乱——的。

虽然测试已经可以到此为止了,我还是把密码又改成了“MyNewPasswordForTest”,继续:

使用Opera Mini登录Gmail时的流量:

使用Pocket IE登录Gmail时的流量:

(连接的两个IP都是Google数据中心,至于为什么有两个?也许是因为mail.google.com和www.google.com解析结果不同。)

其实Opera Mini的加密流量和SSL建立之后的加密流量还是很难分辨的。至少,我是看不到我的明文密码的。

还是请各位注意,Opera Mini能在服务器端获取你的密码,因为整个页面是在服务器端完成解析、提交的。只要你足够信任Opera,你可以放心的输入密码登录的,因为没有第四者可以获取密码。
但是,如果你用的是OPM“中国版”……
我不建议你使用,理由很简单,我不信任它,仅此而已。原因?那部服务器是放置在国内的。
“59.151.127.255 北京市世纪互联”
众所周知的理由我就不多说了。

依然推荐大家使用本地浏览器,比如优秀的Opera Mobile,卡到死的Fennec,效果惨不忍睹的IE……这些软件都可以进行真正的安全连接。
祝大家手机上网愉快。

6 Responses to “UCWEB不懂加密?”


发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

Powered by WordPress. Design: Supermodne.