微会明文传输用户通话记录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3643 天前的主题，其中的信息可能已经有所发展或是发生改变。

说真的对国内软件的这类行为都见怪不怪了。

就是最近发现个号称能免费打电话的软件，微会(http://weihui.yy.com)，看域名也能看出来是 YY 推出的。

今儿个，闲来无事于是就开了 wireshark 抓包玩儿。
手机连接的是笔记本建的虚拟热点，然后用 wireshark 抓。
抓下来一看，微会这货居然明文传输老子的通话记录。

包传到 cloudshark （https://www.cloudshark.org/captures/c34dcff5922c）了。
[当然这包里有在下的部分通话记录，不过其实利用价值也不大，哈哈]

来个截图看看：

哪，http 协议妥妥的，80 端口妥妥的，POST 明文妥妥的，老子通话记录里的电话号码就这么明文传过去了。

Follow tcp stream 看看：

噢，是 POST 到 apis.dianhua.cn，大概是去查归属地和是否骚扰电话等分类信息。
查了下 211.100.76.28，这 IP 的确属于电话邦(http://www.dianhua.cn)

不知道这位明文 POST 的程序员得二到啥程度。不过考虑到国内网站各种明文存储密码之类的往事，也就见怪不怪了。
而且你看，人家返回数据已经告诉你 Daily limits exceeded 了，你还不停地发同样的请求过去，这位程序员二的程度又加深了几分。

国内软件真是不抓个包就让人放心不下的存在啊

通话

wireshark

见怪不怪

22 条回复 • 2014-12-10 13:22:46 +08:00

ScotGu

2014-12-09 18:27:27 +08:00

作为用户，越傻越安全。

yellowV2ex

2014-12-09 18:30:51 +08:00

对方(http://www.dianhua.cn)的API就这样，还怎么加密POST啊，加密POST去服务器再后台去调API？

yfdyh000

2014-12-09 18:40:36 +08:00

@yellowV2ex curl https://apis.dianhua.cn/resolvetel/ 看起来没问题。

xoxo

2014-12-09 18:52:28 +08:00

谁通知微会官方更新APP时启用下HTTPS协议吧，
这下问题来了，代购HTTPS证书哪家强

typcn

2014-12-09 18:53:03 +08:00

CloudShark ... 好强大的样子

typcn

2014-12-09 18:55:49 +08:00

@xoxo 已经上微博告诉了

mringg

2014-12-09 18:56:30 +08:00 via Android

明文好呀，我准备过两天抓包重写个精简版微会

cxe2v

2014-12-09 18:56:42 +08:00

@yellowV2ex 要是这么干可能有的人又要惊叫唤说某某APP上传用户号码到自己服务器了

mringg

2014-12-09 18:57:23 +08:00 via Android

@typcn 就不应该上传用户通信记录。。。。。

typcn

2014-12-09 19:00:42 +08:00

@mringg 你不觉得我这条微博很讽刺么。。

mringg

2014-12-09 19:02:46 +08:00 via Android

@typcn 我反应迟钝了，，，，

sanddudu

2014-12-09 19:09:13 +08:00

@cxe2v 之前上传的是所有联系人的资料，而且没有任何正当理由

ltux

2014-12-09 20:22:53 +08:00

其实还有其他值得吐槽的地方。
比如，用的 api 居然每天的配额居然只有 500万次，看来微会对自己的用户数量很没自信嘛（亦或许是自知之明？），好歹花点钱买个 quota 多点的 api 吧。
再如，一个号称不费流量打电话的软件，结果光花费在查询通话记录里号码的归属地等信息的流量就哗哗的，谁受得了啊。还有 “返回信息都说了 Daily limits exceeded 了还不停地发送重复请求” 这点已经吐过了。

ltux

2014-12-09 20:44:21 +08:00

再贴张手机防火墙日志吧。