百度浏览器的“海外加速”很可能是个有意进行中间人攻击的蜜罐

2014-11-22 19:43:40 +08:00

tobyxdd

访问Google等网站时百度浏览器会自动启动baidubrowser_proxy.exe 然后将所有流量重定向到本地的proxy端口 proxy的连接目标在我这里是111.206.37.99 一个北京联通IP
到这里都还没什么问题，而且用https google时那个proxy也会与那个IP正常建立TLS连接非常像一个无害的代理
但抓包后发现从百度的proxy服务器返回的TLS Server Hello信息里证书并不是Google G2而是一个百度的自签发在wireshark里把字节流导出后得到这么一个证书文件上传到我个人博客了各位自己看吧。
http://toby.so/wp-content/uploads/2014/11/BaiduProxyMITM.zip

当然，百度浏览器本身肯定不会给显示证书的

具体的信息我再确认整理下一会发，现在可以知道的是这个“海外加速”把所有数据发往北京联通服务器且可能是个有意对加密连接进行中间人攻击以嗅探内容的蜜罐

9919 次点击

所在节点

分享发现

26 条回复

tobyxdd

2014-11-22 19:46:27 +08:00

也有一种好一点的解释就是百度自己用SSL封装所有代理数据发往那个IP所以看到的是百度证书...

a2z

2014-11-22 19:57:04 +08:00

好一点的解释也足够说明是百度在中间人攻击了

glados01

2014-11-22 20:00:18 +08:00

请教楼主：
用 vpn 下载或更新 google play 的应用有没有安全隐患?比如说google账号密码被截取什么的?
上fb或者twitter呢?

tobyxdd

2014-11-22 20:04:54 +08:00

@glados01 全程https且没被中间人攻击就没什么问题如果是登录明文网站就得看你vpn加密程度和vpn提供者本身会不会在服务器上监控你

tumutanzi

2014-11-22 20:08:58 +08:00

前几天，我就说了："360浏览器推出有选择翻墙功能" （虽然如此，建议不要用！）为什么此段时间这些公司都推出这些东西？为什么？

MacGG

2014-11-22 20:10:51 +08:00

@tumutanzi 难道墙要倒了吗

lightening

2014-11-22 20:13:28 +08:00

浏览器作为SSL的一端，本来就什么都知道的……

tumutanzi

2014-11-22 20:13:29 +08:00

@MacGG 短期内不可能的，意识形态之事，从来无小事。墙倒则意味着更大的东西改变，我就不说了。

tumutanzi

2014-11-22 20:15:44 +08:00

@MacGG 这事不敢想象，一个做搜索的，提供方便给它的用户使用其竞争对手的服务，不合逻辑啊。

xxhjkl

2014-11-22 20:28:16 +08:00

我比较关心的是，FB可以走这个proxy吗

oott123

2014-11-22 20:39:27 +08:00

百度自己本身就是通过 SSL 连接那个服务器啊，你访问过去不就看到了一个需要认证的 squid ……
也就是说这个 SSL 里面走的是明文还是密文，无从知晓，除非你可以解密那个 SSL 。

@lightening 说得很对，没必要中间人，反正浏览器这一端什么都知道……

lfzyx

2014-11-22 22:15:44 +08:00

扳手指都可以想到国内的公司怎么敢跟官府对着干，必然是有目的的

Havee

2014-11-22 22:17:03 +08:00

楼主的意思是，小白用的 goagent，就是个中间人攻击的蜜罐？

tobyxdd

2014-11-22 22:38:26 +08:00

@Havee 这和goagent有什么关系？

exploreexe

2014-11-22 22:38:53 +08:00

虽然不懂原理，但是鉴于百度公司的节操也是不敢用的。

曾经研究过某二线城市的网吧系统所有聊天记录都指向市xx局服务器，更是可以看到所有人聊天记录。当时就对天朝失去信心了。

还是自建或者用一些不太高调的vpn服务吧。

lehui99

2014-11-22 22:39:45 +08:00

@oott123 破解这个squid的密码就能给其他浏览器用了。见 /t/144377 第36楼

SquirrelMAN

2014-11-22 22:59:58 +08:00

在理。

xoxo

2014-11-22 23:02:03 +08:00

这个问题呢，有多方面的原因：
最可能是因为需要代理的服务较多, 所以做三层转发所需要的代理服务器太多，然后就自己签发了一张证书，来做七层转发？

xierch

2014-11-22 23:14:54 +08:00

首先浏览器它自身什么都看得见，要做什么都可以..

但如果它没在 proxy 上做 MITM，是否有可能让可信的浏览器使用这个 proxy 呢？

oott123

2014-11-22 23:32:03 +08:00

@lehui99 /t/132098

既然说了是 ssl 的，那通过抓包这种中间人的方法是没办法破到密码的。
个人认为大概要用到 IDA 或者 CE 之类的内存调试工具才可以？这一块我不熟悉。

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/148547

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.