上一篇文章中分享适用在安卓平台下的小工具,但刚发布不久,就有 民造谣说这个小工具盗取用户个人信息。我不知道这是出于一种什么心态,说这样话的人良心不会痛吗。嘤嘤嘤~出于维护个人公 的纯洁性,同时为这款Pingtools软件正身,在这里给大家分享下个人对于辨识软件“好与坏”的方法,如有不妥之处请留言交流,批评指正。
题外话:如果怀疑某手机APP盗取手机中关键数据或个人信息,获取确凿证据的方法无外乎两种,其一就是对APP上下行数据进行抓包分析,看看有没有涉及个人敏感信息;其二直接逆向分析,看看程序的各函数和具体实现功能。后者难度颇大,也不建议一般人尝试。
这里用第一种方法抓包测试Pingtools是否存在盗取账 的行为,具体步骤如下:
1、下载并按照提示安装抓包工具fiddler4.2。
2、确保测试手机和装有Fiddle软件的电脑在同一 段内(最好通过无线路由器连接),并使用ipconfig命令查看并记录电脑中无线 卡的ip地址。
由此可见,电脑的IP:192.168.1.101。
3、配置测试手机的代理。打开手机wlan设置,找到已连接到的SSID为12345678无线热点中,打开高级选项,手动添加代理,将代理主机改为192.168.1.101(按照步骤2中电脑的实际ip填入),端口 改为8888(此为fiddle默认侦听端口)。
4、配置fiddler中代理地址和端口。在主菜单Tools(工具)—Options(选项)中选中“Allow remote computers to connect”,默认Fiddler listens on port的数值为“8888”,如下图所示:
说明:1.Fiddler listens on port是手机连接fiddler时的代理端口 ,默认8888即可
2.Allow remote computers to connect是允许远程发送请求,需要勾上
5、以上操作均完成后,保存并重启fiddle,设置才能生效。之后,在测试手机中打开浏览器访问“http://192.168.1.101:8888”,下载并安装Fiddleroot certificate。做完以上操作,手机里所有上下行数据就都可以在fiddler中侦听到了。
6、分析数据。
注意:在侦听前,先把手机中后台运行的程序做一个清理或者在 络防火墙中设置只有被测试软件可以访问 络,这样可以提高效率,防止其他程序的干扰。
|
名称 |
含义 |
图标 | 含义 | |
|
# |
抓取HTTP Request的顺序,从1开始,以此递增 |
响应是 HTML 格式 |
||
|
Result |
HTTP状态码 |
响应是一张图片 |
||
|
Protocol |
请求使用的协议,如HTTP/HTTPS/FTP等 |
响应是脚本格式 |
||
|
Host |
请求地址的主机名 |
响应是 CSS 格式 |
||
|
URL |
请求资源的位置 |
响应是 XML 格式 |
||
|
Body |
该请求的大小 |
响应是 JSON 格式 |
||
|
Caching |
请求的缓存过期时间或者缓存控制值 |
响应是一个音频文件 |
||
|
Content-Type |
请求响应的类型 |
响应是一个视频文件 |
||
|
Process |
发送此请求的进程:进程ID |
响应是一个 SilverLight |
||
|
Comments |
允许用户为此回话添加备注 |
响应是一个 FLASH |
||
|
Custom |
允许用户设置自定义值 |
响应是一个字体 |
||
|
图标 |
含义 |
普通响应成功 |
||
|
请求已经发往服务器 |
响应是 HTTP/300、301、302、303 或 307 重定向 |
|||
|
已从服务器下载响应结果 |
响应是 HTTP/304(无变更):使用缓存文件 |
|||
|
请求从断点处暂停 |
响应需要客户端证书验证 |
|||
|
响应从断点处暂停 |
服务端错误 |
|||
|
请求使用 HTTP 的 HEAD 方法,即响应没有内容(Body) |
会话被客户端、Fiddler 或者服务端终止 |
|||
|
请求使用 HTTP 的 POST 方法 |
请求使用 HTTP 的 CONNECT 方法,使用 HTTPS 协议建立连接隧道 |
以此表为依据,不难看出,所有红框中的数据大部分都是与URL地址www.google.com:443、www.pingtools.com:443、clients.google.com:443等进行通信,但通过通信结果结合HTTP状态码和响应的状态来看,基本都是“502”、“会话被客户端、Fiddler 或者服务端终止”或HTTP状态码为“200”却没有请求内容。从侦听的数据包分析观察,并没有发现数据被窃取的行为。
反观,从软件本身的隐私声明文件中可以看到,软件获取的数据内容和用途。在软件左侧功能栏最上方设置(小齿轮图标)—“privacy”(隐私)。
大家一起感受下:
下面是新工具的介绍时间:
1、软件界面。
▲左图:软件主界面,点右上角绿色三角即可开始工作;右图:抓包界面,可对每条记录点开内容。
▲左图:测试注册某 站账户;右图:数据包详细,其中红框内容即为该 站注册时上传内容。
▲左图:数据包查看方式一(文本格式);右图:数据包查看方式二(16进制)。
▲左图:蓝框内为可以看到 站url部分明文显示用户敏感信息;右图:将数据包保存至本地。
更多神奇妙用,请各位下载自行尝试。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!