UC浏览器被曝使用明文密码2亿用户或面临安全威胁

　　商报讯（记者张绪旺）去年底爆发的PC互联网泄密风波正扩散至移动互联网领域。昨日，一位自称初级黑客的网友在天极网群乐论坛发布名为《有图有真相你还敢用UC上网吗？》的帖子，公布其轻松窃取UC手机浏览器用户个人信息及密码的过程。专家指出，该泄密问题有可能威胁到2亿手机用户。
　　名为“妖妃娘娘”的黑客详细演示了如何用“Win7系统电脑、无线热点和Wireshark软件”窃取UC用户个人信息和密码的过程。“妖妃娘娘”称，即便初级黑客按照所设置网络教程，仅需两个小时即能掌握，熟练后“15分钟就OK了”，而如此容易的原因在于使用UC浏览器登录的用户名和密码均使用明文密码。
　　专业人士向记者介绍，所谓“明文密码”，简单讲就是网站保存密码或网络传送密码的时候，用的是可以看得懂的明文字符，而不是经过加密后的密文。明文密码意味着只要能打开数据库文件的人，即使不是IT技术高手，也可以像查看记事本一样获取被盗用户的信息，其安全性之低不言而喻。
　　此前曝出的知名程序员网站CSDN（微博）600万用户和天涯社区4000万用户数据泄密事件恰恰与明文密码有重大关系。这一轮泄密风波甚至引发整个互联网登录网站“必改密码”风潮。
　　记者注意到，上述黑客演示的是从手机浏览器登录WindowsLive、Gmail时提交的用户名和密码。按照该黑客说法，测试UC浏览器只是因前段时间“泄密门”而对手机上网产生担忧。
　　“按照UC官方公布的数字，UC浏览器的用户数早已超过2亿，若发生大规模密码泄露事件，波及面恐比CSDN或者天涯社区更广。”一位不愿透露姓名的业内人士对记者表示，“UC作为手机上网的入口，用户通过UC登录任何一家网站，其提交的用户信息和密码都有可能被黑客截取”。
　　对于上述泄密担忧，UC优视公司昨晚在给本报发来的回复中强调，这一情况只有在极端情况下才可能出现。“这一情况的本质是用户访问了钓鱼WIFI，用户一旦访问了钓鱼WIFI，任何应用都会存在泄露个人信息的风险，与通过何种应用进行访问无关。”
　　事实上，随着智能手机和3G网络的普及，通过手机上网已成常态。根据最新数据统计，中国手机上网的用户已经超过3。56亿，手机上网安全越发受到重视。
　　易观国际（微博）分析师刘鹏指出，手机安全风险以往主要来自恶意程序、病毒木马等层面，目前基于联网的普遍性和便利性，账号登录体系涉及的个人信息隐私风险越发严重，登录客户端或者通过浏览器登录网站，手机网民遗留个人信息的地方越来越多，逐渐成为黑客和违法分子关注的重点。
　　“浏览器厂商和网站都需要承担用户泄密风险，因为浏览器现在普遍提供账号密码保存功能，甚至扩展到云存储、账号打通等领域。”刘鹏认为，手机安全问题越来越复杂，需要从操作系统、应用程序开发商、浏览器厂商以及网站各方协同解决。
　　UC公司则建议用户在访问公共WIFI时要特别注意识别钓鱼WIFI，保护上网安全。韩玮制表
　　有图有真相你还敢用UC上网吗？一位初级黑客的自白
　　作为一枚资深网虫外加一位热爱技术的初级黑客，近日各大网站的“泄密门”事件已将俺深度击中，在迅速在电脑上修改完自己各网上银行及支付宝密码后，俺想到这手机上的门是否也上了锁？花在手机上的上网流量每月都150M嘞，上微博、查邮件、查淘宝查京东账单已经全部在上手机搞掂，不验证一下是不能踏实的。
　　不试还真不知道，UC是俺手机上网的第一道入口，没想到将俺的账号密码轻松被拿下了，俺紧急将自己作为初级黑客试验盗取“账户名密码”的全部教程发布如下，提醒使用UCWEB手机上网的用户尽快注意安全问题。
　　盗号黑客教程第一步：设置一个网络环境，让小鱼进你的网，你来抓包
　　作案地点选择：星巴克，麦当劳等通常有无线热点的地方（俺在家里，假装在星巴克）
　　技术平台：Win7电脑一台，无线网络一套，Wireshark软件
　　方法：用百度搜索一个相关的使用介绍的方法，设置无线热点AP，为了让更多的手机用户连接（被欺骗）到该热点，命名SSID为Starbucks2，且不设密码。
　　（虚拟图示1：建立无线网络环境）
　　盗号黑客教程第二步：小鱼触网第一步，毫无知觉链上假冒的无线网络环境。
　　方法：当星巴克的客户在品尝咖啡时，一般会拿出手机上上网，在接入WIFI热点时，会同时搜索到星巴克的官方WIFI热点和带有欺骗性质的Starbucks2热点，此时因为Starbucks2热点不需要密码，则很多用户会首先连接该热点。
　　盗号黑客教程第三步：小鱼入网了，通过用户名和密码进入网站，抓住HTTPS网站的信息。
　　方法：当连接到该热点的用户使用手机上的UCW联网时，一旦使用了默认的UCWeb设置（设置系统设置云端加速打开），则部分HTTPS网站的信息会以如下方式被这位初级黑客截取到。
　　演示过程：某用户访问或者gmail等站点并登录账号时，提交的用户名密码会以如下形式在W中被截取到：
　　
　　盗号黑客教程第四步：截取HTTPS信息，寻获未经UCWEB保护、明文显示的用户名和密码。
　　步骤A。启动Wireshark
　　步骤B。点击左上角第一个图标，LStart
　　步骤C。截取HTTP请求，逐一查看TCPStream
　　步骤D：找到有用户名和密码的条目即可。
　　（虚拟图示2：看到你的TCP）
　　
　　
　　（虚拟图示34：寻获未经UCWEB保护、明文显示的用户名和密码）
　　俺只是一名初级黑客呀，按照黑客们常用的网络抓号教程，全部过程只用了2小时，待俺熟练之后，重新来设置不用15分钟就OK了，拿GF的手机一试，也是轻松拿下。因此，在这里特别广大的手机用户，如果你用UCWEB登录网页，请一定注意接入网络的真假，如果用其它浏览器，最好也小心点儿。当然，从安全考虑，当下卸载掉UC更安全些吧。