12
Oct

当心你的UCWeb暴露手机资料

扯技术Oct 12th, 2008小A

本文为扯淡日志

  UCWeb是大家在手机上用的比较多的一款浏览器,由于其支持通过CMWAP方式直接访问http协议的网站,因此在这款软件中国使用率和好评率都是比较高的。在其官方网站上我们找到了如下一句话“截止到2008年9月底安装激活总用户超过5000万! ”,可见其下载和使用量均是个不小的数字。

  小A也是UCWeb的忠实粉丝,从我最开始使用的Nokia 3108到3120使用的都是UCWeb S40的系统(记得那个时候UCWeb才是2.0左右的版本),知道现在换成了WM5.0的Dopod D600还在使用UCWeb 6.0,几乎每一次更新小A都没有落下过。

  不过就在昨天小A在无意中发现了UCWeb一个问题,这个问题可能会导致暴露的你手机资料,如果你使用的WM5或者WM6的版本的话,可以按照小A说的方法试一下,看看是否存在同样的问题。由于小A身边没有塞班机,请看到本文的塞班机用户也按照这个方法测试一下,看看是否暴露出同样的问题。

1、打开你的UcWEB;

2、点击左侧栏最下方的绿色小人按钮,会显示用户登录界面;

3、用笔常点屏幕,等待出现功能菜单(相当于右键菜单),然后选择“页面属性”;

4、仔细查看下“页面URL内容”,你都看到了什么?(页面URL内容就相当于是当前访问的地址)

  这下你应该看得很清楚了吧?如果你还没有看出点什么来的话,我们再来分析一下吧。

http://app0.ucfly.com:8040/uas/ucutil_v3/index.php?command=startpage&ver=6.1.0.23&sn=23-5######1-7######7&cver=None&width=220&height=268&ua=dopod%20D600_CMCC/5.#####/WAP1.2%20Profile/MIDP2.0%20Configuration/CLDC1.0%20Mozilla/4.0%20Mozilla/4.0%20%28compatible%3B%20MSIE%204.01%3B%20Windows%20CE%3B%20PPC%29&ip=21#########10&nbr=&fr=ppc&ln=zh_CN&&imei=3###33#####623###&pfid=31&bid=999&bseq=080####

  从上面就可以看出,我们访问的其实已经是一个通过get方式提交过后的页面了,也就是说我们看到的页面已经把上面的这些信息提交给了UCWeb,那么我们来看看,我们都让UCWeb知道了我们的哪些信息?

command=startpage&ver=6.1.0.23&sn=23-5######1-7######7
你从哪里来,你的UCWeb版本号之类的。

width=220&height=268&ua=dopod%20D600_CMCC……
你的PPC配置、屏幕分辨率、你使用网络、以及网络协议等。

ip=21#########10
你上网的接入IP,一般就是移动或者联通的IP地址。

imei=3###33#####623###&
最犯忌的就是这个手机串号

  这些信息毫无保留地而且以明文形式直接传送到UCWeb,小A个人认为是一件比较可怕的事情,所以写出来,和大家分享一下,也提醒大家注意一下保护自己手机资料的安全,并没有其他意思,总的来说UCWeb还是一款比较优秀的软件。但就小A个人认为,仅仅是一个用户登录的界面更本没有必要收集如此之多的客户信息。如果UCWeb的开发或者运行人员有幸看到本文,烦请留言说明下登录UCweb需要用户手机详细信息的理由。

下面的这个小调查烦请各位动动鼠标拉~

您认为个人手机的串号信息需要保密吗?

View Results

Loading ... Loading ...

  将近一年没有扯淡了,今天换了个新地盘,换了个新主题,不知道大家感觉怎么样,小A的扯淡blog也从今天开始正式恢复每日一扯,尽请光临!小A的扯淡资讯的feed地址有所变化,新的地址是:feed.chedan.info,烦请大家修改之前的订阅地址,小A的扯淡饭否地址为:fanfou.com/chedan,请各位爱好扯淡的朋友尽管加好友,此外扯淡还提供了一个QQ群(943570,就是让我扯淡的谐音)一定要加入组织哦!第一次复博好像有好多话要说,对了,最后再插一句,linkool小A正在加紧建立,估计明天就能整理好了。

  小A第一次复博后的蛋究竟扯得怎么样呢?麻烦大家来给小A评个分,(本鸡蛋是最好,臭鸡蛋是最差)。

  扯淡资讯,一天一扯,明天再见~

,

看淡评蛋

臭鸡蛋手榴弹咸鸭蛋双黄蛋本鸡蛋 (共被鉴定9次,平均鉴定分34分)
Loading ... Loading ...

引用地址:http://chedan.info/283-CheDan/beware-of-ucweb-to-expose-your-mobile-data.html

冰雪映丹心 丹心融冰雪 荒谬—学生必须向车敬礼
Rss 2.0Trackback

楼被抢了15层了

  1. 厄,似乎发送HTTP请求的时候就会带上本机的一些信息,比如用手机上网默认会发送手机型号,服务器可以根据型号,对应不同的页面
    似乎串号在国内没啥子实质用处。。。破BB飘过


    大猫 Says @ 08-10-12 21:20

  2. 个人隐私这么值钱么?


    yksoft1 Says @ 08-10-12 21:22

  3. 沙发了哈


    Kola Says @ 08-10-12 21:23

  4. 我错了~~我只不过想说我是塞班S60机~~


    Kola Says @ 08-10-12 21:24

  5. 还行,user agent 是本来就会发送的,IMEI 嘛。。的确没大用


    fisio Says @ 08-10-12 21:43

  6. 低科技小盆友路过


    胡戈戈 Says @ 08-10-12 23:54

  7. 因为ucweb和opera mini都是通过服务器渲染的页面,所以才能省流量啊,ua其实本来就能获取(还有电话号码,基站编号等更重要的隐私,只不过现在只有和移动合作的几家sp才有办法获得),因为移动在网关过滤掉了,uc和移动的关系不够铁所以只能在url里面加入。


    highkay Says @ 08-10-13 08:46

  8. 信息手机更严重的东西更多了,没啥了,不会因为这个被攻击吧?

    手机不上网一年半……


    流星 Says @ 08-10-13 10:00

  9. 无语。


    Says @ 08-10-13 15:53

  10. 其实你的用户名密码也都经过他们的服务器。。


    nings Says @ 08-10-13 17:26

  11. 我的sp2003用ucweb查看页面属性没有个人信息…


    hi Says @ 08-10-14 18:09

  12. 从小众跳过来的……
    做为一个手机软件开发的程序员来说两句:
    其实,手机软件这么做是有原因的。
    版本号是为了统计和掌握各个版本的使用情况;PPC配置、屏幕分辨率、你使用网络、以及网络协议等是为了最适合机型的展现方式而做适配,如果UCWEB有适配的话;ip的话估计就纯粹是为了统计;手机串号,这个东西还是很敏感的,说实话,UCWEB拿到它也不能怎样,只是拿着这个东西,可以统计手机终端的用户数,拿着这个数字好做为向投资商要钱的资本。
    其实还有更过分的,只是普通用户根本看不到而已。。。


    z Says @ 08-10-14 22:46

  13. 真的是扯蛋。。。


    ddw827 Says @ 08-10-16 07:36

  14. This is great info to know.


    Kiri Says @ 08-12-5 15:30

Trackbacks & Pingbacks

要说点啥就在这吧