百度浏览器的“海外加速”很可能是个有意进行中间人攻击的蜜罐

2014-11-22 19:43:40 +08:00
 tobyxdd
访问Google等网站时百度浏览器会自动启动baidubrowser_proxy.exe 然后将所有流量重定向到本地的proxy端口 proxy的连接目标在我这里是111.206.37.99 一个北京联通IP
到这里都还没什么问题,而且用https google时那个proxy也会与那个IP正常建立TLS连接 非常像一个无害的代理
但抓包后发现从百度的proxy服务器返回的TLS Server Hello信息里证书并不是Google G2而是一个百度的自签发 在wireshark里把字节流导出后得到这么一个证书文件 上传到我个人博客了各位自己看吧。
http://toby.so/wp-content/uploads/2014/11/BaiduProxyMITM.zip

当然,百度浏览器本身肯定不会给显示证书的


具体的信息我再确认整理下一会发,现在可以知道的是这个“海外加速”把所有数据发往北京联通服务器 且可能是个有意对加密连接进行中间人攻击以嗅探内容的蜜罐
10121 次点击
所在节点    分享发现
26 条回复
tobyxdd
2014-11-22 19:46:27 +08:00
也有一种好一点的解释就是百度自己用SSL封装所有代理数据发往那个IP所以看到的是百度证书...
a2z
2014-11-22 19:57:04 +08:00
好一点的解释也足够说明是百度在中间人攻击了
glados01
2014-11-22 20:00:18 +08:00
请教楼主:
用 vpn 下载或更新 google play 的应用有没有安全隐患?比如说google账号密码被截取什么的?
上fb或者twitter呢?
tobyxdd
2014-11-22 20:04:54 +08:00
@glados01 全程https且没被中间人攻击就没什么问题 如果是登录明文网站就得看你vpn加密程度和vpn提供者本身会不会在服务器上监控你
tumutanzi
2014-11-22 20:08:58 +08:00
前几天,我就说了:"360浏览器推出有选择翻墙功能" (虽然如此,建议不要用!)为什么此段时间这些公司都推出这些东西?为什么?
MacGG
2014-11-22 20:10:51 +08:00
@tumutanzi 难道墙要倒了吗
lightening
2014-11-22 20:13:28 +08:00
浏览器作为SSL的一端,本来就什么都知道的……
tumutanzi
2014-11-22 20:13:29 +08:00
@MacGG 短期内不可能的,意识形态之事,从来无小事。墙倒则意味着更大的东西改变,我就不说了。
tumutanzi
2014-11-22 20:15:44 +08:00
@MacGG 这事不敢想象,一个做搜索的,提供方便给它的用户使用其竞争对手的服务,不合逻辑啊。
xxhjkl
2014-11-22 20:28:16 +08:00
我比较关心的是,FB可以走这个proxy吗
oott123
2014-11-22 20:39:27 +08:00
百度自己本身就是通过 SSL 连接那个服务器啊,你访问过去不就看到了一个需要认证的 squid ……
也就是说这个 SSL 里面走的是明文还是密文,无从知晓,除非你可以解密那个 SSL 。

@lightening 说得很对,没必要中间人,反正浏览器这一端什么都知道……
lfzyx
2014-11-22 22:15:44 +08:00
扳手指都可以想到国内的公司怎么敢跟官府对着干,必然是有目的的
Havee
2014-11-22 22:17:03 +08:00
楼主的意思是,小白用的 goagent,就是个中间人攻击的蜜罐?
tobyxdd
2014-11-22 22:38:26 +08:00
@Havee 这和goagent有什么关系?
exploreexe
2014-11-22 22:38:53 +08:00
虽然不懂原理,但是鉴于百度公司的节操也是不敢用的。

曾经研究过某二线城市的网吧系统所有聊天记录都指向市xx局服务器,更是可以看到所有人聊天记录。当时就对天朝失去信心了。

还是自建或者用一些不太高调的vpn服务吧。
lehui99
2014-11-22 22:39:45 +08:00
@oott123 破解这个squid的密码就能给其他浏览器用了。见 /t/144377 第36楼
SquirrelMAN
2014-11-22 22:59:58 +08:00
在理。
xoxo
2014-11-22 23:02:03 +08:00
这个问题呢,有多方面的原因:
最可能是因为需要代理的服务较多, 所以做三层转发所需要的代理服务器太多,然后就自己签发了一张证书,来做七层转发?
xierch
2014-11-22 23:14:54 +08:00
首先浏览器它自身什么都看得见,要做什么都可以..

但如果它 没 在 proxy 上做 MITM,是否有可能让可信的浏览器使用这个 proxy 呢?
oott123
2014-11-22 23:32:03 +08:00
@lehui99 /t/132098

既然说了是 ssl 的,那通过抓包这种中间人的方法是没办法破到密码的。
个人认为大概要用到 IDA 或者 CE 之类的内存调试工具才可以?这一块我不熟悉。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/148547

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX