微会明文传输用户通话记录

2014-12-09 17:55:02 +08:00
 ltux
说真的对国内软件的这类行为都见怪不怪了。

就是最近发现个号称能免费打电话的软件,微会(http://weihui.yy.com),看域名也能看出来是 YY 推出的。

今儿个,闲来无事于是就开了 wireshark 抓包玩儿。
手机连接的是笔记本建的虚拟热点,然后用 wireshark 抓。
抓下来一看,微会这货居然明文传输老子的通话记录。

包传到 cloudshark (https://www.cloudshark.org/captures/c34dcff5922c) 了。
[当然这包里有在下的部分通话记录,不过其实利用价值也不大,哈哈]

来个截图看看:


哪,http 协议妥妥的,80 端口妥妥的,POST 明文妥妥的,老子通话记录里的电话号码就这么明文传过去了。

Follow tcp stream 看看:


噢,是 POST 到 apis.dianhua.cn,大概是去查归属地和是否骚扰电话等分类信息。
查了下 211.100.76.28,这 IP 的确属于电话邦(http://www.dianhua.cn)

不知道这位明文 POST 的程序员得二到啥程度。不过考虑到国内网站各种明文存储密码之类的往事,也就见怪不怪了。
而且你看,人家返回数据已经告诉你 Daily limits exceeded 了,你还不停地发同样的请求过去,这位程序员二的程度又加深了几分。

国内软件真是不抓个包就让人放心不下的存在啊
5219 次点击
所在节点    分享发现
22 条回复
ScotGu
2014-12-09 18:27:27 +08:00
作为用户,越傻越安全。
yellowV2ex
2014-12-09 18:30:51 +08:00
对方(http://www.dianhua.cn)的API就这样,还怎么加密POST啊,加密POST去服务器再后台去调API?
yfdyh000
2014-12-09 18:40:36 +08:00
xoxo
2014-12-09 18:52:28 +08:00
谁通知微会官方更新APP时启用下HTTPS协议吧,
这下问题来了,代购HTTPS证书哪家强
typcn
2014-12-09 18:53:03 +08:00
CloudShark ... 好强大的样子
typcn
2014-12-09 18:55:49 +08:00
@xoxo 已经上微博告诉了


mringg
2014-12-09 18:56:30 +08:00
明文好呀,我准备过两天抓包重写个精简版微会
cxe2v
2014-12-09 18:56:42 +08:00
@yellowV2ex 要是这么干可能有的人又要惊叫唤说 某某APP上传用户号码到自己服务器了
mringg
2014-12-09 18:57:23 +08:00
@typcn 就不应该上传用户通信记录。。。。。
typcn
2014-12-09 19:00:42 +08:00
@mringg 你不觉得我这条微博很讽刺么。。
mringg
2014-12-09 19:02:46 +08:00
@typcn 我反应迟钝了,,,,
sanddudu
2014-12-09 19:09:13 +08:00
@cxe2v 之前上传的是所有联系人的资料,而且没有任何正当理由
ltux
2014-12-09 20:22:53 +08:00
其实还有其他值得吐槽的地方。
比如,用的 api 居然每天的配额居然只有 500万次,看来微会对自己的用户数量很没自信嘛(亦或许是自知之明?), 好歹花点钱买个 quota 多点的 api 吧。
再如,一个号称不费流量打电话的软件,结果光花费在查询通话记录里号码的归属地等信息的流量就哗哗的,谁受得了啊。还有 “返回信息都说了 Daily limits exceeded 了还不停地发送重复请求” 这点已经吐过了。
ltux
2014-12-09 20:44:21 +08:00
再贴张手机防火墙日志吧。
Ansen
2014-12-09 20:59:59 +08:00
我去他们论坛发了个帖子。。。希望有用。。
http://bbs.yy.com/thread-29271605-1-1.html

loveyu
2014-12-09 21:34:11 +08:00
用了几次之后卸了,效果太差还不如QQ语音
miyuki
2014-12-09 22:33:42 +08:00
wheatcuican
2014-12-09 22:42:32 +08:00
@Ansen 抱歉,本帖要求阅读权限高于 100 才能浏览
2333333
Ansen
2014-12-10 09:28:52 +08:00
@wheatcuican 那说明是看到了?
Ansen
2014-12-10 09:34:32 +08:00
@wheatcuican
虽然被掩盖了,但是好歹反馈了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/152671

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX