V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xucheng
V2EX  ›  分享发现

QQ 浏览器的 RSA 实现爆出严重漏洞

  •  3
     
  •   xucheng · 2018-02-13 10:48:01 +08:00 via iPhone · 4370 次点击
    这是一个创建于 2476 天前的主题,其中的信息可能已经有所发展或是发生改变。
    9 条回复    2018-02-17 10:19:30 +08:00
    wistoch
        1
    wistoch  
       2018-02-13 12:58:24 +08:00
    看了文章,是 2016 年很早时发现的漏洞,早就修复了,可能文章现在才发出来。
    orangeade
        2
    orangeade  
       2018-02-13 13:46:21 +08:00
    When users run QQ Browser on Android, it makes a series
    of what QQ Browser interally terms as “ WUP requests ”
    to QQ Browser ’ s server. These WUP requests
    contain information such as a user ’ s International Mobile
    Equipment Identifier (IMEI), International Mobile Subscriber
    Identification (IMSI), QQ username, WiFi MAC
    address, SSID of connected WiFi access point and of all
    in-range access points, Android ID, URLs of all webpages
    visited, and other private information.
    datocp
        3
    datocp  
       2018-02-14 06:38:51 +08:00 via Android
    早些年用 qq 浏览器 最 NB 的问题,路由网关用 dnsmasq 屏蔽了 360 网站,android 的终端也显示 nslookup 360.cn 指向到 127.0.0.1。可是在 android ios 下 qq 浏览器都能 NB 的访问 360.cn 。从那以后再也不敢用 qq 浏览器接着 maxthon 也老出现证书问题不敢用。现在一直用 firefox。
    qq 浏览器的 dns 查询为什么可以绕过网关设置?
    youngbug
        4
    youngbug  
       2018-02-14 11:38:54 +08:00
    似乎是用了 128bit 的密钥位数,太短了。。512 位的密钥都不让让用了。公钥运算模长是 2048bit 现在的手机都应该没啥感觉。
    dawn009
        5
    dawn009  
       2018-02-14 17:34:32 +08:00
    @datocp 可能走的不是系统 DNS,为了加速之类的
    honeycomb
        6
    honeycomb  
       2018-02-14 18:35:48 +08:00 via Android
    @datocp 私有的 HTTPdns (注,不是 rfc 那个 dns over http )
    flynaj
        7
    flynaj  
       2018-02-16 22:42:20 +08:00 via Android
    @datocp 跟 opera mini 一样的都是服务器压缩,还有 chrome 也有服务器中转压缩,只是国内用不了。技术没有问题,看用的人,还有让你知不知道在用这个技术,http://httpbin.org/get 可以用这个看看参数对不对
    HannibaI
        8
    HannibaI  
       2018-02-17 10:15:30 +08:00
    @datocp dns 就是个应用层协议而已。要绕过 TCP/UDP 那才牛逼呢
    datocp
        9
    datocp  
       2018-02-17 10:19:30 +08:00 via Android
    原因是在 360 和腾讯大战时,那时用的还是 4Madsl,360 的客户端会导致并发异常,这才使用 dnsmasq 进行屏蔽,qq 的这一设计已经超越本地安全控制,不可原谅。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2648 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 02:50 · PVG 10:50 · LAX 18:50 · JFK 21:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.