“?一直想在社交領(lǐng)域突破的某付寶，卻自始至終對社交功能如此的不用心，讓用戶的數(shù)據(jù)在網(wǎng)絡(luò)中裸奔，使用戶不寒而栗。”

沒錯，這篇文章要說的就是BAT中A家的支付X，那個千方百計做社交的支付工具。

如果你使用了它的聊天窗口內(nèi)的部分功能，請記住，你的隱私正在互聯(lián)網(wǎng)裸奔。

支付X，在社交上，你干不過微信，就憑你如此不上心地明文傳輸聊天相關(guān)的數(shù)據(jù)，趕緊回家補洞去。

慶幸的是，各巨頭的當(dāng)家軟件中裸奔的信息，還原得輕松，打得響名頭，是我們協(xié)議分析還原工作者的心頭肉。

當(dāng)然，裸奔的信息，不僅僅存在于A家的支付X，BT兩家的軟件也存在，還有待于各位去發(fā)掘。

支付X的聊天窗口包括很多子功能，有哪些是明文的呢？后文將進行分析。

01

—

語音消息

使用HTTP明文傳輸，沒有任何加密措施，使用域名為up-mayi.django.t.taobao.com，從報文中可以看出，語音消息是以文件形式在網(wǎng)絡(luò)中傳輸?shù)?#xff0c;下圖為一次語音的發(fā)送傳輸過程，接收過程與此類似。

語音編碼為amr格式，語音內(nèi)容部分可看到明顯的字符串“#!SILK_V3”，和微信、QQ等的語音文件采用的編碼是一致的。如果有需要可在本公眾號聊天窗口發(fā)送“SILK”獲取原始解碼庫。

02

—

圖片

圖片同樣使用HTTP明文傳輸，沒有任何加密措施，但是域名為mugw.alipay.com:443，使用的是一個支付寶主域名，并且使用的是443端口，卻偏偏使用明文進行傳輸，多么的漫不經(jīng)心。下圖為一次圖片的發(fā)送傳輸過程，接收過程與此類似。

圖片文件一般比較大，因此可能會分段進行傳輸，在上圖的圖片內(nèi)容部分可看到明顯的圖片關(guān)鍵字“JFIF”，如果使用16進制則可看到圖片的起始為“FF D8”，可使用Wireshark導(dǎo)出圖片。

03

—

視頻

視頻和圖片類似，當(dāng)然也是HTTP明文，域名為mugw.alipay.com:443，不過視頻的發(fā)送之前，會多了一個視頻縮略圖的傳輸過程，與圖片傳輸相同，在此直接忽略了。下圖為一次視頻的發(fā)送傳輸過程，接收過程與此類似。

支付X自己拍攝的視頻為MP4格式，傳輸流中可看到MP4的標(biāo)記“ftypmp42”、“isommp42”等，可使用Wireshark導(dǎo)出MP4。

04

—

悄悄話

悄悄話是支付X在2017年中推出的一項閱后即焚的聊天功能，可以進行圖片，文字，語音，視頻四類數(shù)據(jù)的收發(fā)，按正常邏輯，悄悄話應(yīng)該安全性比其它數(shù)據(jù)要高，并且不能讓第三方的人知曉呀，但是，支付X重新定義了悄悄話，它只是一個名字，實際功能是閱讀后記錄在界面上被刪除，其它包括域名，邏輯，編碼等，均與非悄悄話一致。下圖為一次悄悄話的語音發(fā)送傳輸過程，接收過程與此類似。

明文，明文，全都是明文，沒有任何隱秘的意思。

05

—

其它

其它例如位置信息等，在此省略，留給大家去分析了，當(dāng)然，聊天的文本信息是SSL傳輸?shù)?#xff0c;與紅包等資金相關(guān)的數(shù)據(jù)安全性類似。

為防止裸奔，請遠離支付X聊天功能，否則，它會突然給你意想不到的驚喜。

專業(yè)的人，做專業(yè)的事，馬道長，還是應(yīng)該去找王大仙。

如果你有任何需要和大家分享的，請聯(lián)系我進行分享。

長按進行關(guān)注。