Total Pageviews

Friday 13 October 2017

手机什么应用都不开,在电脑抓包,看后你会不会大吃一惊

手机什么应用都不开,在电脑抓包看下你会不会大吃一惊
今天看到一加上传用户信息那个,恰好我的手机是一加 3 (公测版氢 Rom,未 root,没有安装什么管理类的软件),我想看看手机是不是也有乱七八糟的信息被上传。
于是我在电脑用 Burp,设置允许局域网访问,然后手机 WIFI 设置代理连到电脑的 Burp,把手机所有应用关掉,接着重启手机。
重启后啥也没动,挂了几分钟,Burp 就收到了请求,这是其中的一部分。
什么有道词典、alipay、大众点评、美团、电话邦、N 多 QQ 域名,我真是*了狗了,不看不知道,看了就觉得恶心。
有的是使用 IP 来访问的,不知道是哪个厂
有的则是 HTTP 明文请求
有的良心些 HTTPS
有的是加密成二进制的看不出是啥
看得到的部分,除了场景的分辨率、型号、系统版本、还有imei、有道词典把我保存的 WIFI 热点名称都 POST 到了服务器。
这就是为什么说Android N和苹果的ATS搞SSL Pinning,搞extended certificate verification,搞歧视自制CA,禁止用户自己用MITM审计流量,是在为日后do evil做准备。
总觉得Trailing Closure充满了自由散漫的气息,或曰整个Swift都浸透着一股Liberal的味道,另一方面,整个iOS里没有一个真正独立的第三方HTTPS库,互联网的入口被APPLE通过ATS牢牢地掌握在手中,一切看起来很好莱坞.
http://bizport.cn/
www.keke.cn

No comments:

Post a Comment