说真的对国内软件的这类行为都见怪不怪了。
就是最近发现个号称能免费打电话的软件,微会(
http://weihui.yy.com),看域名也能看出来是 YY 推出的。
今儿个,闲来无事于是就开了 wireshark 抓包玩儿。
手机连接的是笔记本建的虚拟热点,然后用 wireshark 抓。
抓下来一看,微会这货居然明文传输老子的通话记录。
包传到 cloudshark (
https://www.cloudshark.org/captures/c34dcff5922c) 了。
[当然这包里有在下的部分通话记录,不过其实利用价值也不大,哈哈]
来个截图看看:
哪,http 协议妥妥的,80 端口妥妥的,POST 明文妥妥的,老子通话记录里的电话号码就这么明文传过去了。
Follow tcp stream 看看:
噢,是 POST 到
apis.dianhua.cn,大概是去查归属地和是否骚扰电话等分类信息。
查了下 211.100.76.28,这 IP 的确属于电话邦(
http://www.dianhua.cn)
不知道这位明文 POST 的程序员得二到啥程度。不过考虑到国内网站各种明文存储密码之类的往事,也就见怪不怪了。
而且你看,人家返回数据已经告诉你 Daily limits exceeded 了,你还不停地发同样的请求过去,这位程序员二的程度又加深了几分。
国内软件真是不抓个包就让人放心不下的存在啊
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/152671
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.