V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ltux
V2EX  ›  分享发现

微会明文传输用户通话记录

  •  
  •   ltux · 2014-12-09 17:55:02 +08:00 · 5218 次点击
    这是一个创建于 3667 天前的主题,其中的信息可能已经有所发展或是发生改变。
    说真的对国内软件的这类行为都见怪不怪了。

    就是最近发现个号称能免费打电话的软件,微会(http://weihui.yy.com),看域名也能看出来是 YY 推出的。

    今儿个,闲来无事于是就开了 wireshark 抓包玩儿。
    手机连接的是笔记本建的虚拟热点,然后用 wireshark 抓。
    抓下来一看,微会这货居然明文传输老子的通话记录。

    包传到 cloudshark (https://www.cloudshark.org/captures/c34dcff5922c) 了。
    [当然这包里有在下的部分通话记录,不过其实利用价值也不大,哈哈]

    来个截图看看:

    哪,http 协议妥妥的,80 端口妥妥的,POST 明文妥妥的,老子通话记录里的电话号码就这么明文传过去了。

    Follow tcp stream 看看:

    噢,是 POST 到 apis.dianhua.cn,大概是去查归属地和是否骚扰电话等分类信息。
    查了下 211.100.76.28,这 IP 的确属于电话邦(http://www.dianhua.cn)

    不知道这位明文 POST 的程序员得二到啥程度。不过考虑到国内网站各种明文存储密码之类的往事,也就见怪不怪了。
    而且你看,人家返回数据已经告诉你 Daily limits exceeded 了,你还不停地发同样的请求过去,这位程序员二的程度又加深了几分。

    国内软件真是不抓个包就让人放心不下的存在啊
    22 条回复    2014-12-10 13:22:46 +08:00
    ScotGu
        1
    ScotGu  
       2014-12-09 18:27:27 +08:00
    作为用户,越傻越安全。
    yellowV2ex
        2
    yellowV2ex  
       2014-12-09 18:30:51 +08:00
    对方(http://www.dianhua.cn)的API就这样,还怎么加密POST啊,加密POST去服务器再后台去调API?
    yfdyh000
        3
    yfdyh000  
       2014-12-09 18:40:36 +08:00
    xoxo
        4
    xoxo  
       2014-12-09 18:52:28 +08:00
    谁通知微会官方更新APP时启用下HTTPS协议吧,
    这下问题来了,代购HTTPS证书哪家强
    typcn
        5
    typcn  
       2014-12-09 18:53:03 +08:00
    CloudShark ... 好强大的样子
    typcn
        6
    typcn  
       2014-12-09 18:55:49 +08:00
    @xoxo 已经上微博告诉了


    mringg
        7
    mringg  
       2014-12-09 18:56:30 +08:00 via Android
    明文好呀,我准备过两天抓包重写个精简版微会
    cxe2v
        8
    cxe2v  
       2014-12-09 18:56:42 +08:00
    @yellowV2ex 要是这么干可能有的人又要惊叫唤说 某某APP上传用户号码到自己服务器了
    mringg
        9
    mringg  
       2014-12-09 18:57:23 +08:00 via Android
    @typcn 就不应该上传用户通信记录。。。。。
    typcn
        10
    typcn  
       2014-12-09 19:00:42 +08:00
    @mringg 你不觉得我这条微博很讽刺么。。
    mringg
        11
    mringg  
       2014-12-09 19:02:46 +08:00 via Android
    @typcn 我反应迟钝了,,,,
    sanddudu
        12
    sanddudu  
       2014-12-09 19:09:13 +08:00
    @cxe2v 之前上传的是所有联系人的资料,而且没有任何正当理由
    ltux
        13
    ltux  
    OP
       2014-12-09 20:22:53 +08:00
    其实还有其他值得吐槽的地方。
    比如,用的 api 居然每天的配额居然只有 500万次,看来微会对自己的用户数量很没自信嘛(亦或许是自知之明?), 好歹花点钱买个 quota 多点的 api 吧。
    再如,一个号称不费流量打电话的软件,结果光花费在查询通话记录里号码的归属地等信息的流量就哗哗的,谁受得了啊。还有 “返回信息都说了 Daily limits exceeded 了还不停地发送重复请求” 这点已经吐过了。
    ltux
        14
    ltux  
    OP
       2014-12-09 20:44:21 +08:00
    再贴张手机防火墙日志吧。
    Ansen
        15
    Ansen  
       2014-12-09 20:59:59 +08:00
    我去他们论坛发了个帖子。。。希望有用。。
    http://bbs.yy.com/thread-29271605-1-1.html

    loveyu
        16
    loveyu  
       2014-12-09 21:34:11 +08:00
    用了几次之后卸了,效果太差还不如QQ语音
    miyuki
        17
    miyuki  
       2014-12-09 22:33:42 +08:00 via Android
    wheatcuican
        18
    wheatcuican  
       2014-12-09 22:42:32 +08:00
    @Ansen 抱歉,本帖要求阅读权限高于 100 才能浏览
    2333333
    Ansen
        19
    Ansen  
       2014-12-10 09:28:52 +08:00
    @wheatcuican 那说明是看到了?
    Ansen
        20
    Ansen  
       2014-12-10 09:34:32 +08:00
    @wheatcuican
    虽然被掩盖了,但是好歹反馈了
    c2q1989
        21
    c2q1989  
       2014-12-10 12:38:22 +08:00
    现在的软件,都是乱用权限
    wheatcuican
        22
    wheatcuican  
       2014-12-10 13:22:46 +08:00
    @Ansen 你觉得会反馈么?有负面消息,还是在自家的论坛,直接删帖了事。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1002 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 21:33 · PVG 05:33 · LAX 13:33 · JFK 16:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.