315 使用 Wireshark 演示非官方 APP 如何窃取个人隐私

昨天一年一度的 315 晚会上，技术人员通过 Wireshark 抓包来线程演示非官方 APP 的危害，我在猜明年会不会程序员现场反向工程 DEBUG。

elfive

2019-03-16 08:38:00 +08:00

他用 WireShark 抓包
其实主要证明的是你的信息比你不是直接发往社保中心的，是发给第三方，由第三方代替你，模拟你进行操作。
其次间接证明了部分第三方服务 App 不使用安全的通讯方式，信息被其明文传输，容易受到窃听，从而造成二次泄漏。

opengps

2019-03-16 08:47:18 +08:00

APP 不用 https 通道当然一抓就看到明文

Cat73

2019-03-16 08:56:26 +08:00

@opengps 使用 https 也可以抓的

iyaozhen

2019-03-16 09:02:10 +08:00

@Cat73 Android 高版本就抓不了（或者说很麻烦了），所以一般用 iOS😂

ColinZeb

2019-03-16 09:09:21 +08:00

@Cat73 得信任一个根证书才行

just1

2019-03-16 09:19:50 +08:00

@Cat73 https 是自己能抓，http 是所有人都能抓了，第二次泄露，更加恐怖了

meisky6666

2019-03-16 09:47:43 +08:00

社保，企业税务，这些信息 16 年就泄漏了…后面有没有把漏洞补上都不清楚

opengps

2019-03-16 11:18:07 +08:00

@Cat73 https 防的是中间人，中间人指的是离开用户的客户端之后，到服务端收到之前的这段。显然他抓包的电脑应该是作为中间网络设备，或者截取了中间网络设备抓包的，这种情况只能抓到密文，看不到源文

taobibi

2019-03-16 13:53:11 +08:00

@meisky6666 社保信息泄露，作为用户如何防范呀？感觉一点办法都没有。

csx163

2019-03-17 03:57:38 +08:00

重点不是 https,也不是未 hash 的密码，而是用户用的第三方 app。

Cu635

2020-04-06 11:38:18 +08:00

“我在猜明年会不会程序员现场反向工程 DEBUG”
时隔一年过来看，2020 年的 315 晚会延期了……

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.