微会明文传输用户通话记录

说真的对国内软件的这类行为都见怪不怪了。

就是最近发现个号称能免费打电话的软件，微会(http://weihui.yy.com)，看域名也能看出来是 YY 推出的。

今儿个，闲来无事于是就开了 wireshark 抓包玩儿。
手机连接的是笔记本建的虚拟热点，然后用 wireshark 抓。
抓下来一看，微会这货居然明文传输老子的通话记录。

包传到 cloudshark （https://www.cloudshark.org/captures/c34dcff5922c） 了。
[当然这包里有在下的部分通话记录，不过其实利用价值也不大，哈哈]

来个截图看看：


哪，http 协议妥妥的，80 端口妥妥的，POST 明文妥妥的，老子通话记录里的电话号码就这么明文传过去了。

Follow tcp stream 看看：


噢，是 POST 到 apis.dianhua.cn，大概是去查归属地和是否骚扰电话等分类信息。
查了下 211.100.76.28，这 IP 的确属于电话邦(http://www.dianhua.cn)

不知道这位明文 POST 的程序员得二到啥程度。不过考虑到国内网站各种明文存储密码之类的往事，也就见怪不怪了。
而且你看，人家返回数据已经告诉你 Daily limits exceeded 了，你还不停地发同样的请求过去，这位程序员二的程度又加深了几分。

国内软件真是不抓个包就让人放心不下的存在啊