“ 一直想在社交领域突破的某付宝,却自始至终对社交功能如此的不用心,让用户的数据在网络中裸奔,使用户不寒而栗。”
没错,这篇文章要说的就是BAT中A家的支付X,那个千方百计做社交的支付工具。
如果你使用了它的聊天窗口内的部分功能,请记住,你的隐私正在互联网裸奔。
支付X,在社交上,你干不过微信,就凭你如此不上心地明文传输聊天相关的数据,赶紧回家补洞去
。
庆幸的是,各巨头的当家软件中裸奔的信息,还原得轻松,打得响名头,是我们协议分析还原工作者的心头肉。
当然,裸奔的信息,不仅仅存在于A家的支付X,BT两家的软件也存在,还有待于各位去发掘。
支付X的聊天窗口包括很多子功能,有哪些是明文的呢?后文将进行分析。
01
—
语音消息
使用HTTP明文传输,没有任何加密措施,使用域名为up-mayi.django.t.taobao.com,从报文中可以看出,语音消息是以文件形式在网络中传输的,下图为一次语音的发送传输过程,接收过程与此类似。
语音编码为amr格式,语音内容部分可看到明显的字符串“#!SILK_V3”,和微信、QQ等的语音文件采用的编码是一致的。如果有需要可在本公众号聊天窗口发送“SILK”获取原始解码库。
02
—
图片
图片同样使用HTTP明文传输,没有任何加密措施,但是域名为mugw.alipay.com:443,使用的是一个支付宝主域名,并且使用的是443端口,却偏偏使用明文进行传输,多么的漫不经心。下图为一次图片的发送传输过程,接收过程与此类似。
图片文件一般比较大,因此可能会分段进行传输,在上图的图片内容部分可看到明显的图片关键字“JFIF”,如果使用16进制则可看到图片的起始为“FF D8”,可使用Wireshark导出图片。
03
—
视频
视频和图片类似,当然也是HTTP明文,域名为mugw.alipay.com:443,不过视频的发送之前,会多了一个视频缩略图的传输过程,与图片传输相同,在此直接忽略了。下图为一次视频的发送传输过程,接收过程与此类似。
支付X自己拍摄的视频为MP4格式,传输流中可看到MP4的标记“ftypmp42”、“isommp42”等,可使用Wireshark导出MP4。
04
—
悄悄话
悄悄话是支付X在2017年中推出的一项阅后即焚的聊天功能,可以进行图片,文字,语音,视频四类数据的收发,按正常逻辑,悄悄话应该安全性比其它数据要高,并且不能让第三方的人知晓呀,但是,支付X重新定义了悄悄话,它只是一个名字,实际功能是阅读后记录在界面上被删除,其它包括域名,逻辑,编码等,均与非悄悄话一致。下图为一次悄悄话的语音发送传输过程,接收过程与此类似。
明文,明文,全都是明文,没有任何隐秘的意思。
05
—
其它
其它例如位置信息等,在此省略,留给大家去分析了,当然,聊天的文本信息是SSL传输的,与红包等资金相关的数据安全性类似。
为防止裸奔,请远离支付X聊天功能,否则,它会突然给你意想不到的惊喜。
专业的人,做专业的事,马道长,还是应该去找王大仙。
如果你有任何需要和大家分享的,请联系我进行分享。
长按进行关注。