这是一个创建于 3966 天前的主题,其中的信息可能已经有所发展或是发生改变。
说真的对国内软件的这类行为都见怪不怪了。
就是最近发现个号称能免费打电话的软件,微会(http://weihui.yy.com),看域名也能看出来是 YY 推出的。
今儿个,闲来无事于是就开了 wirshark 抓包玩儿。
手机连接的是笔记本建的虚拟热点,然后用 wireshark 抓。
抓下来一看,微会这货居然明文传输老子的通话记录。
包传到 cloudshark (https://www.cloudshark.org/captures/c34dcff5922c) 了。
[当然这包里有在下的部分通话记录,不过其实利用价值也不大,哈哈]
来个截图看看:
哪,http 协议妥妥的,80 端口妥妥的,POST 明文妥妥的,老子通话记录里的电话号码就这么明文传过去了。
Follow tcp stream 看看:
噢,是 POST 到 apis.dianhua.cn,大概是去查归属地和是否骚扰电话等分类信息。
查了下 211.100.76.28,这 IP 的确属于电话邦(http://www.dianhua.cn)
不知道这位明文 POST 的程序员得二到啥程度。不过考虑到国内网站各种明文存储密码之类的往事,也就见怪不怪了。
而且你看,人家返回数据已经告诉你 Daily limits exceeded 了,你还不停地发同样的请求过去,这位程序员二的程度又加深了几分。
国内软件真是不抓个包就让人放心不下的存在啊
就是最近发现个号称能免费打电话的软件,微会(http://weihui.yy.com),看域名也能看出来是 YY 推出的。
今儿个,闲来无事于是就开了 wirshark 抓包玩儿。
手机连接的是笔记本建的虚拟热点,然后用 wireshark 抓。
抓下来一看,微会这货居然明文传输老子的通话记录。
包传到 cloudshark (https://www.cloudshark.org/captures/c34dcff5922c) 了。
[当然这包里有在下的部分通话记录,不过其实利用价值也不大,哈哈]
来个截图看看:
哪,http 协议妥妥的,80 端口妥妥的,POST 明文妥妥的,老子通话记录里的电话号码就这么明文传过去了。
Follow tcp stream 看看:
噢,是 POST 到 apis.dianhua.cn,大概是去查归属地和是否骚扰电话等分类信息。
查了下 211.100.76.28,这 IP 的确属于电话邦(http://www.dianhua.cn)
不知道这位明文 POST 的程序员得二到啥程度。不过考虑到国内网站各种明文存储密码之类的往事,也就见怪不怪了。
而且你看,人家返回数据已经告诉你 Daily limits exceeded 了,你还不停地发同样的请求过去,这位程序员二的程度又加深了几分。
国内软件真是不抓个包就让人放心不下的存在啊
 | 1 ScotGu 2014-12-09 18:27:27 +08:00 作为用户,越傻越安全。 |
 | 2 yellowV2ex 2014-12-09 18:30:51 +08:00 对方(http://www.dianhua.cn)的API就这样,还怎么加密POST啊,加密POST去服务器再后台去调API? |
 | 3 yfdyh000 2014-12-09 18:40:36 +08:00 @yellowV2ex curl https://apis.dianhua.cn/resolvetel/ 看起来没问题。 |
 | 4 xoxo 2014-12-09 18:52:28 +08:00 谁通知微会官方更新APP时启用下HTTPS协议吧, 这下问题来了,代购HTTPS证书哪家强 |
 | 5 typcn 2014-12-09 18:53:03 +08:00 CloudShark ... 好强大的样子 |
 | 7 ming2050 2014-12-09 18:56:30 +08:00 via Android 明文好呀,我准备过两天抓包重写个精简版微会 |
 | 8 cxe2v 2014-12-09 18:56:42 +08:00 @yellowV2ex 要是这么干可能有的人又要惊叫唤说 某某APP上传用户号码到自己服务器了 |
 | 13 ltux OP 其实还有其他值得吐槽的地方。 比如,用的 api 居然每天的配额居然只有 500万次,看来微会对自己的用户数量很没自信嘛(亦或许是自知之明?), 好歹花点钱买个 quota 多点的 api 吧。 再如,一个号称不费流量打电话的软件,结果光花费在查询通话记录里号码的归属地等信息的流量就哗哗的,谁受得了啊。还有 “返回信息都说了 Daily limits exceeded 了还不停地发送重复请求” 这点已经吐过了。 |
| 14 ltux OP 再贴张手机防火墙日志吧。  |
 | 15 Ansen 2014-12-09 20:59:59 +08:00 |
 | 16 loveyu 2014-12-09 21:34:11 +08:00 用了几次之后卸了,效果太差还不如QQ语音 |
 | 17 miyuki 2014-12-09 22:33:42 +08:00 via Android 留 |
 | 18 wheatcuican 2014-12-09 22:42:32 +08:00 @Ansen 抱歉,本帖要求阅读权限高于 100 才能浏览 2333333 |
| 19 Ansen 2014-12-10 09:28:52 +08:00 @wheatcuican 那说明是看到了? |
| 20 Ansen 2014-12-10 09:34:32 +08:00 |
 | 21 c2q1989 2014-12-10 12:38:22 +08:00 现在的软件,都是乱用权限 |
| 22 wheatcuican 2014-12-10 13:22:46 +08:00 @Ansen 你觉得会反馈么?有负面消息,还是在自家的论坛,直接删帖了事。 |
Select Language