“ 目前的车联网APP,几乎没有安全性可言。”
在网络上闲逛,一不小心,逛进了车联网的领地。物联网、车联网、IoT如火如荼,各个大佬、院士加持,看着相当的高大上。
但是,在伟岸的外表下,到底真实的情况是什么?
今天,分析的是一家坐落在祖国最具活力的超大城市的车联网技术开发公司旗下的APP,这家公司,围绕飞速发展的车联网、物联网市场,深耕细作,建立起了一系列以云端为基础的行业级解决方案。设备为百万级,数据量达TB,PB级,实力强大,鄙人心中甚是忐忑。
该公司的关键字包括jimi、tuqiang、hdit。各位有兴趣可以自行搜索获取详细信息,这里就不展开了。
依托于已建立的各大平台,该公司有大量车载设备,可以想象到,网络上正流动着该公司产品产生的可观流量,这些设备里,一定包含着数量巨大的定位和轨迹数据。不过,硬件设备成本太高,本文就不进行分析了,如果有哪位大佬可以获取这些设备产生的流量,可以联系我进行分析。
本文仅分析与平台相关的一些APP,这是难度最低的工作。
01
—
HDIT
来到该公司官网,打开任意一个云平台的链接,很显眼地能看见APP的下载按钮,下载,安装,抓包,使用,完全的套路,熟门熟路是不是。
再看抓取的报文,满目的HTTP协议数据:
完全没有对APP产生的数据进行保护的意识,典型的上世纪末的互联网产品。
再深究,看它的注册数据:
POST /api/reg HTTP/1.1
Content-Length: 60
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Host: www.hditcloud.com
Connection: Keep-Alive
Cookie: JSESSIONID=XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Cookie2: $Version=1
Accept-Encoding: gzip
method=registerPhone&password=888888&phone=18888888888&ver=1HTTP/1.1 200 OK
Server: nginx
Date: Thu, 11 Jun 2018 11:44:44 GMT
Content-Type: application/json;charset=UTF-8
Content-Length: 228
Connection: keep-alive
{"code":0,"data":{"account":"18888888888","displayFlag":1,"enabledFlag":1,"id":34113,"lastLoginTime":0,"name":"18888888888","password":"888888","phone":"18888888888","roleCode":"NORMAL","status":0,"type":5},"msg":"注册成功"}
赤裸裸的明文,账号,密码都没有进行稍稍遮掩,请求发回去,响应再发回来,莫名其妙的逻辑。
02
—
API
这个物联网平台,竟然提供API供第三方开发使用,看上去,像模像样,毕竟是院士加持过的公司。
但一看API接口的入口,让人十分扫兴呀。
你怎么可以这样,该公司另一个平台也有个APP,大概率就是使用这套API的,就不分析了。
03
—
期待
根据APP的情况分析,该公司的数百万车联网设备,应该也没有任何数据加密措施。想象一下,就已经很恐怖了,这些数据,一定包含大量的用户信息,定位信息,如果被有心人利用起来,后果不堪设想。
当然,协议还原喜欢这样的设备和APP。
长按进行关注。