V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tobyxdd
V2EX  ›  分享发现

百度浏览器的“海外加速”很可能是个有意进行中间人攻击的蜜罐

  •  4
     
  •   tobyxdd · 2014-11-22 19:43:40 +08:00 · 9874 次点击
    这是一个创建于 3404 天前的主题,其中的信息可能已经有所发展或是发生改变。
    访问Google等网站时百度浏览器会自动启动baidubrowser_proxy.exe 然后将所有流量重定向到本地的proxy端口 proxy的连接目标在我这里是111.206.37.99 一个北京联通IP
    到这里都还没什么问题,而且用https google时那个proxy也会与那个IP正常建立TLS连接 非常像一个无害的代理
    但抓包后发现从百度的proxy服务器返回的TLS Server Hello信息里证书并不是Google G2而是一个百度的自签发 在wireshark里把字节流导出后得到这么一个证书文件 上传到我个人博客了各位自己看吧。
    http://toby.so/wp-content/uploads/2014/11/BaiduProxyMITM.zip

    当然,百度浏览器本身肯定不会给显示证书的


    具体的信息我再确认整理下一会发,现在可以知道的是这个“海外加速”把所有数据发往北京联通服务器 且可能是个有意对加密连接进行中间人攻击以嗅探内容的蜜罐
    26 条回复    2014-11-25 13:04:31 +08:00
    tobyxdd
        1
    tobyxdd  
    OP
       2014-11-22 19:46:27 +08:00
    也有一种好一点的解释就是百度自己用SSL封装所有代理数据发往那个IP所以看到的是百度证书...
    a2z
        2
    a2z  
       2014-11-22 19:57:04 +08:00
    好一点的解释也足够说明是百度在中间人攻击了
    glados01
        3
    glados01  
       2014-11-22 20:00:18 +08:00
    请教楼主:
    用 vpn 下载或更新 google play 的应用有没有安全隐患?比如说google账号密码被截取什么的?
    上fb或者twitter呢?
    tobyxdd
        4
    tobyxdd  
    OP
       2014-11-22 20:04:54 +08:00
    @glados01 全程https且没被中间人攻击就没什么问题 如果是登录明文网站就得看你vpn加密程度和vpn提供者本身会不会在服务器上监控你
    tumutanzi
        5
    tumutanzi  
       2014-11-22 20:08:58 +08:00   ❤️ 1
    前几天,我就说了:"360浏览器推出有选择翻墙功能" (虽然如此,建议不要用!)为什么此段时间这些公司都推出这些东西?为什么?
    MacGG
        6
    MacGG  
       2014-11-22 20:10:51 +08:00 via Android
    @tumutanzi 难道墙要倒了吗
    lightening
        7
    lightening  
       2014-11-22 20:13:28 +08:00   ❤️ 6
    浏览器作为SSL的一端,本来就什么都知道的……
    tumutanzi
        8
    tumutanzi  
       2014-11-22 20:13:29 +08:00   ❤️ 2
    @MacGG 短期内不可能的,意识形态之事,从来无小事。墙倒则意味着更大的东西改变,我就不说了。
    tumutanzi
        9
    tumutanzi  
       2014-11-22 20:15:44 +08:00
    @MacGG 这事不敢想象,一个做搜索的,提供方便给它的用户使用其竞争对手的服务,不合逻辑啊。
    xxhjkl
        10
    xxhjkl  
       2014-11-22 20:28:16 +08:00
    我比较关心的是,FB可以走这个proxy吗
    oott123
        11
    oott123  
       2014-11-22 20:39:27 +08:00   ❤️ 1
    百度自己本身就是通过 SSL 连接那个服务器啊,你访问过去不就看到了一个需要认证的 squid ……
    也就是说这个 SSL 里面走的是明文还是密文,无从知晓,除非你可以解密那个 SSL 。

    @lightening 说得很对,没必要中间人,反正浏览器这一端什么都知道……
    lfzyx
        12
    lfzyx  
       2014-11-22 22:15:44 +08:00
    扳手指都可以想到国内的公司怎么敢跟官府对着干,必然是有目的的
    Havee
        13
    Havee  
       2014-11-22 22:17:03 +08:00
    楼主的意思是,小白用的 goagent,就是个中间人攻击的蜜罐?
    tobyxdd
        14
    tobyxdd  
    OP
       2014-11-22 22:38:26 +08:00
    @Havee 这和goagent有什么关系?
    exploreexe
        15
    exploreexe  
       2014-11-22 22:38:53 +08:00 via iPhone
    虽然不懂原理,但是鉴于百度公司的节操也是不敢用的。

    曾经研究过某二线城市的网吧系统所有聊天记录都指向市xx局服务器,更是可以看到所有人聊天记录。当时就对天朝失去信心了。

    还是自建或者用一些不太高调的vpn服务吧。
    lehui99
        16
    lehui99  
       2014-11-22 22:39:45 +08:00 via Android
    @oott123 破解这个squid的密码就能给其他浏览器用了。见 /t/144377 第36楼
    SquirrelMAN
        17
    SquirrelMAN  
       2014-11-22 22:59:58 +08:00
    在理。
    xoxo
        18
    xoxo  
       2014-11-22 23:02:03 +08:00
    这个问题呢,有多方面的原因:
    最可能是因为需要代理的服务较多, 所以做三层转发所需要的代理服务器太多,然后就自己签发了一张证书,来做七层转发?
    xierch
        19
    xierch  
       2014-11-22 23:14:54 +08:00
    首先浏览器它自身什么都看得见,要做什么都可以..

    但如果它 没 在 proxy 上做 MITM,是否有可能让可信的浏览器使用这个 proxy 呢?
    oott123
        20
    oott123  
       2014-11-22 23:32:03 +08:00
    @lehui99 /t/132098

    既然说了是 ssl 的,那通过抓包这种中间人的方法是没办法破到密码的。
    个人认为大概要用到 IDA 或者 CE 之类的内存调试工具才可以?这一块我不熟悉。
    aero99
        21
    aero99  
       2014-11-23 00:57:14 +08:00 via iPhone
    @exploreexe 太可怕了
    cnbeining
        22
    cnbeining  
       2014-11-23 08:55:12 +08:00
    如果这不叫SSLStrip那这世界上就没有攻击了。

    Google也有流量压缩代理,但是服务器不能转发(就是不能)SSL的东西。

    goagent本身就是MITM,当然作者也明确说了,这个东西不安全。那就怨不得别人了。。。
    matthewgao
        23
    matthewgao  
       2014-11-23 11:31:24 +08:00
    因为百度做了一次SSL的DPI
    lehui99
        24
    lehui99  
       2014-11-23 16:27:21 +08:00 via Android
    @oott123 不用这么复杂,直接做劫持就能得到密码了,没有做代理的ssl证书校验
    Heracles
        25
    Heracles  
       2014-11-23 19:59:59 +08:00
    @MacGG 我认为应该是实名、可监控翻墙的开始
    chengr28
        26
    chengr28  
       2014-11-25 13:04:31 +08:00   ❤️ 1
    这个本质上是用 Squid 搭的代理……百毒浏览器默认用的是加密,测试发现普通连接也能用来代理,当然要能如 16L 所说猜出用户名和密码……至于会不会被服务器截获,应该是有可能的。如果是普通 Squid 搭的代理用 HTTPS 服务器当然是看不到的,但是天知道百毒浏览器里是怎么玩

    或者如果你们不放心可以去下这个小工具把那个证书吊销掉,我刚刚加上去了。不过实测百毒浏览器那个 proxy 貌似不验证书,吊销了都没有反应照样能代理……
    https://github.com/chengr28/AntiChinaCerts
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3443 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 11:28 · PVG 19:28 · LAX 04:28 · JFK 07:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.