百度浏览器的“海外加速”很可能是个有意进行中间人攻击的蜜罐

2014-11-22 19:43:40 +08:00
 tobyxdd
访问Google等网站时百度浏览器会自动启动baidubrowser_proxy.exe 然后将所有流量重定向到本地的proxy端口 proxy的连接目标在我这里是111.206.37.99 一个北京联通IP
到这里都还没什么问题,而且用https google时那个proxy也会与那个IP正常建立TLS连接 非常像一个无害的代理
但抓包后发现从百度的proxy服务器返回的TLS Server Hello信息里证书并不是Google G2而是一个百度的自签发 在wireshark里把字节流导出后得到这么一个证书文件 上传到我个人博客了各位自己看吧。
http://toby.so/wp-content/uploads/2014/11/BaiduProxyMITM.zip

当然,百度浏览器本身肯定不会给显示证书的


具体的信息我再确认整理下一会发,现在可以知道的是这个“海外加速”把所有数据发往北京联通服务器 且可能是个有意对加密连接进行中间人攻击以嗅探内容的蜜罐
10121 次点击
所在节点    分享发现
26 条回复
aero99
2014-11-23 00:57:14 +08:00
@exploreexe 太可怕了
cnbeining
2014-11-23 08:55:12 +08:00
如果这不叫SSLStrip那这世界上就没有攻击了。

Google也有流量压缩代理,但是服务器不能转发(就是不能)SSL的东西。

goagent本身就是MITM,当然作者也明确说了,这个东西不安全。那就怨不得别人了。。。
matthewgao
2014-11-23 11:31:24 +08:00
因为百度做了一次SSL的DPI
lehui99
2014-11-23 16:27:21 +08:00
@oott123 不用这么复杂,直接做劫持就能得到密码了,没有做代理的ssl证书校验
Heracles
2014-11-23 19:59:59 +08:00
@MacGG 我认为应该是实名、可监控翻墙的开始
chengr28
2014-11-25 13:04:31 +08:00
这个本质上是用 Squid 搭的代理……百毒浏览器默认用的是加密,测试发现普通连接也能用来代理,当然要能如 16L 所说猜出用户名和密码……至于会不会被服务器截获,应该是有可能的。如果是普通 Squid 搭的代理用 HTTPS 服务器当然是看不到的,但是天知道百毒浏览器里是怎么玩

或者如果你们不放心可以去下这个小工具把那个证书吊销掉,我刚刚加上去了。不过实测百毒浏览器那个 proxy 貌似不验证书,吊销了都没有反应照样能代理……
https://github.com/chengr28/AntiChinaCerts

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/148547

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX