A look at WeChat security
底下是內容大意的翻譯:
原作者( Roberto Paleari )於 2013/9/17 指出,使用 Wireshark 來側錄 WeChat 的封
包,一開始發現疑似是走標準的 HTTPS (port tcp/443),但卻出現了無法解析的 payload。
進一步解析發現這似乎是 WeChat 所開發的自定義的獨家通訊協定,所以前面所出現無法解
析的 payload 實際上不是 HTTP/HTTPS sessions,而是使用自定方式將封包內容進行RSA與
AES加密。
結論:
該網站表示,任何安裝在 Android 裝置上的 APP 都可以透過 WeChat 來發送使用者密碼的
hash 到遠端或被控制的伺服器上。
宣導:
從資訊安全的角度來說盡量不要在行動裝置上安裝這些所謂的免費簡
裝置上的安全強度不如桌上型電腦。再加上一般使用者不會特別 留意行動裝置的安全性,
更增加成為詐騙集團進行騙術的新管道。
包,一開始發現疑似是走標準的 HTTPS (port tcp/443),但卻出現了無法解析的 payload。
進一步解析發現這似乎是 WeChat 所開發的自定義的獨家通訊協定,所以前面所出現無法解
析的 payload 實際上不是 HTTP/HTTPS sessions,而是使用自定方式將封包內容進行RSA與
AES加密。
結論:
該網站表示,任何安裝在 Android 裝置上的 APP 都可以透過 WeChat 來發送使用者密碼的
hash 到遠端或被控制的伺服器上。
宣導:
從資訊安全的角度來說盡量不要在行動裝置上安裝這些所謂的免費簡
裝置上的安全強度不如桌上型電腦。再加上一般使用者不會特別 留意行動裝置的安全性,
更增加成為詐騙集團進行騙術的新管道。
沒有留言:
張貼留言