商報(bào)訊 (記者 張緒旺) 去年底爆發(fā)的PC互聯(lián)網(wǎng)泄密風(fēng)波正擴(kuò)散至移動互聯(lián)網(wǎng)領(lǐng)域。昨日，一位自稱初級黑客的網(wǎng)友在天極網(wǎng)群樂論壇發(fā)布名為《有圖有真相 你還敢用UC上網(wǎng)嗎？》的帖子，公布其輕松竊取UC手機(jī)瀏覽器用戶個(gè)人信息及密碼的過程。專家指出，該泄密問題有可能威脅到2億手機(jī)用戶。

名為“妖妃娘娘”的黑客詳細(xì)演示了如何用“Win7系統(tǒng)電腦、無線熱點(diǎn)和Wireshark軟件”竊取UC用戶個(gè)人信息和密碼的過程。“妖妃娘娘”稱，即便初級黑客按照所設(shè)置網(wǎng)絡(luò)教程，僅需兩個(gè)小時(shí)即能掌握，熟練后“15分鐘就OK了”，而如此容易的原因在于使用UC瀏覽器登錄的用戶名和密碼均使用明文密碼。

專業(yè)人士向記者介紹，所謂“明文密碼”，簡單講就是網(wǎng)站保存密碼或網(wǎng)絡(luò)傳送密碼的時(shí)候，用的是可以看得懂的明文字符，而不是經(jīng)過加密后的密文。明文密碼意味著只要能打開數(shù)據(jù)庫文件的人，即使不是IT技術(shù)高手，也可以像查看記事本一樣獲取被盜用戶的信息，其安全性之低不言而喻。
此前曝出的知名程序員網(wǎng)站CSDN(微博) 600萬用戶和天涯社區(qū)4000萬用戶數(shù)據(jù)泄密事件恰恰與明文密碼有重大關(guān)系。這一輪泄密風(fēng)波甚至引發(fā)整個(gè)互聯(lián)網(wǎng)登錄網(wǎng)站“必改密碼”風(fēng)潮。

記者注意到，上述黑客演示的是從手機(jī)瀏覽器登錄Windows Live、Gmail時(shí)提交的用戶名和密碼。按照該黑客說法，測試UC瀏覽器只是因前段時(shí)間“泄密門”而對手機(jī)上網(wǎng)產(chǎn)生擔(dān)憂。

“按照UC官方公布的數(shù)字，UC瀏覽器的用戶數(shù)早已超過2億，若發(fā)生大規(guī)模密碼泄露事件，波及面恐比CSDN或者天涯社區(qū)更廣?！币晃徊辉竿嘎缎彰臉I(yè)內(nèi)人士對記者表示，“UC作為手機(jī)上網(wǎng)的入口，用戶通過UC登錄任何一家網(wǎng)站，其提交的用戶信息和密碼都有可能被黑客截取”。

對于上述泄密擔(dān)憂，UC優(yōu)視公司昨晚在給本報(bào)發(fā)來的回復(fù)中強(qiáng)調(diào)，這一情況只有在極端情況下才可能出現(xiàn)?！斑@一情況的本質(zhì)是用戶訪問了釣魚WIFI，用戶一旦訪問了釣魚WIFI，任何應(yīng)用都會存在泄露個(gè)人信息的風(fēng)險(xiǎn)，與通過何種應(yīng)用進(jìn)行訪問無關(guān)?！?/p>

事實(shí)上，隨著智能手機(jī)和3G網(wǎng)絡(luò)的普及，通過手機(jī)上網(wǎng)已成常態(tài)。根據(jù)最新數(shù)據(jù)統(tǒng)計(jì)，中國手機(jī)上網(wǎng)的用戶已經(jīng)超過3.56億，手機(jī)上網(wǎng)安全越發(fā)受到重視。

易觀國際(微博)分析師劉鵬指出，手機(jī)安全風(fēng)險(xiǎn)以往主要來自惡意程序、病毒木馬等層面，目前基于聯(lián)網(wǎng)的普遍性和便利性，賬號登錄體系涉及的個(gè)人信息隱私風(fēng)險(xiǎn)越發(fā)嚴(yán)重，登錄客戶端或者通過瀏覽器登錄網(wǎng)站，手機(jī)網(wǎng)民遺留個(gè)人信息的地方越來越多，逐漸成為黑客和違法分子關(guān)注的重點(diǎn)。
“瀏覽器廠商和網(wǎng)站都需要承擔(dān)用戶泄密風(fēng)險(xiǎn)，因?yàn)闉g覽器現(xiàn)在普遍提供賬號密碼保存功能，甚至擴(kuò)展到云存儲、賬號打通等領(lǐng)域?！眲Ⅸi認(rèn)為，手機(jī)安全問題越來越復(fù)雜，需要從操作系統(tǒng)、應(yīng)用程序開發(fā)商、瀏覽器廠商以及網(wǎng)站各方協(xié)同解決。

UC公司則建議用戶在訪問公共WIFI時(shí)要特別注意識別釣魚WIFI，保護(hù)上網(wǎng)安全。韓瑋/制表

有圖有真相 你還敢用UC上網(wǎng)嗎？一位初級黑客的自白

作為一枚資深網(wǎng)蟲外加一位熱愛技術(shù)的初級黑客，近日各大網(wǎng)站的“泄密門”事件已將俺深度擊中，在迅速在電腦上修改完自己各網(wǎng)上銀行及支付寶密碼后，俺想到這手機(jī)上的門是否也上了鎖？花在手機(jī)上的上網(wǎng)流量每月都150M嘞，上微博、查郵件、查淘寶/查京東賬單已經(jīng)全部在上手機(jī)搞掂，不驗(yàn)證一下是不能踏實(shí)的。

不試還真不知道，UC是俺手機(jī)上網(wǎng)的第一道入口，沒想到將俺的賬號密碼輕松被拿下了，俺緊急將自己作為初級黑客試驗(yàn)盜取“賬戶名密碼”的全部教程發(fā)布如下，提醒使用UCWEB手機(jī)上網(wǎng)的用戶盡快注意安全問題。

盜號黑客教程第一步：設(shè)置一個(gè)網(wǎng)絡(luò)環(huán)境，讓小魚進(jìn)你的網(wǎng)，你來抓包

作案地點(diǎn)選擇：星巴克，麥當(dāng)勞等通常有無線熱點(diǎn)的地方（俺在家里，假裝在星巴克）

技術(shù)平臺：Win7電腦一臺，無線網(wǎng)絡(luò)一套，Wireshark軟件

方法：用百度搜索一個(gè)相關(guān)的使用介紹的方法，設(shè)置無線熱點(diǎn)AP,?為了讓更多的手機(jī)用戶連接(被欺騙)到該熱點(diǎn),?命名?SSID?為?Starbucks 2，且不設(shè)密碼。

（虛擬圖示1：建立無線網(wǎng)絡(luò)環(huán)境）

盜號黑客教程第二步：小魚觸網(wǎng)第一步，毫無知覺鏈上假冒的無線網(wǎng)絡(luò)環(huán)境。

方法：當(dāng)星巴克的客戶在品嘗咖啡時(shí)，一般會拿出手機(jī)上上網(wǎng),?在接入?WIFI?熱點(diǎn)時(shí),?會同時(shí)搜索到星巴克的官方?WIFI?熱點(diǎn)和帶有欺騙性質(zhì)的Starbucks 2?熱點(diǎn),??此時(shí)因?yàn)?Starbucks 2?熱點(diǎn)不需要密碼,?則很多用戶會首先連接該熱點(diǎn)。

盜號黑客教程第三步：小魚入網(wǎng)了，通過用戶名和密碼進(jìn)入網(wǎng)站，抓住HTTPS網(wǎng)站的信息。

方法：當(dāng)連接到該熱點(diǎn)的用戶使用手機(jī)上的?UC Web?聯(lián)網(wǎng)時(shí),?一旦使用了默認(rèn)的?UC Web設(shè)置(設(shè)置?->?系統(tǒng)設(shè)置?->?云端加速打開),?則部分?HTTPS網(wǎng)站的信息會以如下方式被這位初級黑客截取到。

演示過程：某用戶訪問?live?或者gmail等站點(diǎn)并登錄賬號時(shí),?提交的用戶名密碼會以如下形式在?Wireshark?中被截取到:

盜號黑客教程第四步：截取HTTPS信息，尋獲未經(jīng)UCWEB保護(hù)、明文顯示的用戶名和密碼。

步驟A.?啟動?Wireshark
步驟B.?點(diǎn)擊左上角第一個(gè)圖標(biāo), List the available capture interfaces… -> Start

步驟C.?截取?HTTP?請求,?逐一查看?TCP Stream

步驟D:?找到有用戶名和密碼的條目即可.

（虛擬圖示2：看到你的TCP）

（虛擬圖示3&4：尋獲未經(jīng)UCWEB保護(hù)、明文顯示的用戶名和密碼）

俺只是一名初級黑客呀，按照黑客們常用的網(wǎng)絡(luò)抓號教程，全部過程只用了2小時(shí)，待俺熟練之后，重新來設(shè)置不用15分鐘就OK了，拿GF的手機(jī)一試，也是輕松拿下。因此，在這里特別廣大的手機(jī)用戶，如果你用UCWEB登錄網(wǎng)頁，請一定注意接入網(wǎng)絡(luò)的真假，如果用其它瀏覽器，最好也小心點(diǎn)兒。當(dāng)然，從安全考慮，當(dāng)下卸載掉UC更安全些吧。