• 裸奔的支付X聊天,你还敢用吗?


     一直想在社交领域突破的某付宝,却自始至终对社交功能如此的不用心,让用户的数据在网络中裸奔,使用户不寒而栗。


    没错,这篇文章要说的就是BAT中A家的支付X,那个千方百计做社交的支付工具。


    如果你使用了它的聊天窗口内的部分功能,请记住,你的隐私正在互联网裸奔。


    支付X,在社交上,你干不过微信,就凭你如此不上心地明文传输聊天相关的数据,赶紧回家补洞去smiley_13.png


    庆幸的是,各巨头的当家软件中裸奔的信息,还原得轻松,打得响名头,是我们协议分析还原工作者的心头肉


    当然,裸奔的信息,不仅仅存在于A家的支付X,BT两家的软件也存在,还有待于各位去发掘。


    支付X的聊天窗口包括很多子功能,有哪些是明文的呢?后文将进行分析。


    01

    语音消息


    使用HTTP明文传输,没有任何加密措施,使用域名为up-mayi.django.t.taobao.com,从报文中可以看出,语音消息是以文件形式在网络中传输的,下图为一次语音的发送传输过程,接收过程与此类似。


    640?wx_fmt=png


    语音编码为amr格式,语音内容部分可看到明显的字符串“#!SILK_V3”,和微信、QQ等的语音文件采用的编码是一致的。如果有需要可在本公众号聊天窗口发送“SILK”获取原始解码库。


    02


    图片


    图片同样使用HTTP明文传输,没有任何加密措施,但是域名为mugw.alipay.com:443,使用的是一个支付宝主域名,并且使用的是443端口,却偏偏使用明文进行传输,多么的漫不经心。下图为一次图片的发送传输过程,接收过程与此类似。


    640?wx_fmt=png


    图片文件一般比较大,因此可能会分段进行传输,在上图的图片内容部分可看到明显的图片关键字“JFIF”,如果使用16进制则可看到图片的起始为“FF D8”,可使用Wireshark导出图片


    03


    视频


    视频和图片类似,当然也是HTTP明文,域名为mugw.alipay.com:443,不过视频的发送之前,会多了一个视频缩略图的传输过程,与图片传输相同,在此直接忽略了。下图为一次视频的发送传输过程,接收过程与此类似。


    640?wx_fmt=png


    支付X自己拍摄的视频为MP4格式,传输流中可看到MP4的标记“ftypmp42”、“isommp42”等,可使用Wireshark导出MP4。



    04


    悄悄话


    悄悄话是支付X在2017年中推出的一项阅后即焚的聊天功能,可以进行图片,文字,语音,视频四类数据的收发,按正常逻辑,悄悄话应该安全性比其它数据要高,并且不能让第三方的人知晓呀,但是,支付X重新定义了悄悄话,它只是一个名字,实际功能是阅读后记录在界面上被删除,其它包括域名,逻辑,编码等,均与非悄悄话一致。下图为一次悄悄话的语音发送传输过程,接收过程与此类似。


    640?wx_fmt=png


    明文,明文,全都是明文,没有任何隐秘的意思。


    05


    其它


    其它例如位置信息等,在此省略,留给大家去分析了,当然,聊天的文本信息是SSL传输的,与红包等资金相关的数据安全性类似。


    为防止裸奔,请远离支付X聊天功能,否则,它会突然给你意想不到的惊喜。


    专业的人,做专业的事,马道长,还是应该去找王大仙。


    如果你有任何需要和大家分享的,请联系我进行分享。

    640?wx_fmt=jpeg

    长按进行关注。





  • 相关阅读:
    解决线程安全问题——同步方法
    Console Add Item –Java使用eBay API SDK刊登商品 详解
    解决Eclipse中新建jsp文件ISO8859-1 编码问题
    struts.xml配置详解
    public class Ex2
    ax2+bx+c=0的根的算法
    猜随机数
    中国的个税计算方法
    Javascript String类的属性及方法
    CSS各个浏览器Hack的写法
  • 原文地址:https://www.cnblogs.com/protosec/p/11673350.html
Copyright © 2020-2023  润新知