车联网APP,安全设施薄弱的山寨品
“ 目前的车联网APP,几乎没有安全性可言。”
在网络上闲逛,一不小心,逛进了车联网的领地。物联网、车联网、IoT如火如荼,各个大佬、院士加持,看着相当的高大上。
但是,在伟岸的外表下,到底真实的情况是什么?
今天,分析的是一家坐落在祖国最具活力的超大城市的车联网技术开发公司旗下的APP,这家公司,围绕飞速发展的车联网、物联网市场,深耕细作,建立起了一系列以云端为基础的行业级解决方案。设备为百万级,数据量达TB,PB级,实力强大,鄙人心中甚是忐忑。
该公司的关键字包括jimi、tuqiang、hdit。各位有兴趣可以自行搜索获取详细信息,这里就不展开了。
依托于已建立的各大平台,该公司有大量车载设备,可以想象到,网络上正流动着该公司产品产生的可观流量,这些设备里,一定包含着数量巨大的定位和轨迹数据。不过,硬件设备成本太高,本文就不进行分析了,如果有哪位大佬可以获取这些设备产生的流量,可以联系我进行分析。
本文仅分析与平台相关的一些APP,这是难度最低的工作。
01
—
HDIT
来到该公司官网,打开任意一个云平台的链接,很显眼地能看见APP的下载按钮,下载,安装,抓包,使用,完全的套路,熟门熟路是不是。
再看抓取的报文,满目的HTTP协议数据:
完全没有对APP产生的数据进行保护的意识,典型的上世纪末的互联网产品。
再深究,看它的注册数据:
POST /api/reg HTTP/1.1
Content-Length: 60
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Host: www.hditcloud.com
Connection: Keep-Alive
Cookie: JSESSIONID=XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Cookie2: $Version=1
Accept-Encoding: gzip
method=registerPhone&password=888888&phone=18888888888&ver=1HTTP/1.1 200 OK
Server: nginx
Date: Thu, 11 Jun 2018 11:44:44 GMT
Content-Type: application/json;charset=UTF-8
Content-Length: 228
Connection: keep-alive
{"code":0,"data":{"account":"18888888888","displayFlag":1,"enabledFlag":1,"id":34113,"lastLoginTime":0,"name":"18888888888","password":"888888","phone":"18888888888","roleCode":"NORMAL","status":0,"type":5},"msg":"注册成功"}
赤裸裸的明文,账号,密码都没有进行稍稍遮掩,请求发回去,响应再发回来,莫名其妙的逻辑。
02
—
API
这个物联网平台,竟然提供API供第三方开发使用,看上去,像模像样,毕竟是院士加持过的公司。
但一看API接口的入口,让人十分扫兴呀。
你怎么可以这样,该公司另一个平台也有个APP,大概率就是使用这套API的,就不分析了。
03
—
期待
根据APP的情况分析,该公司的数百万车联网设备,应该也没有任何数据加密措施。想象一下,就已经很恐怖了,这些数据,一定包含大量的用户信息,定位信息,如果被有心人利用起来,后果不堪设想。
当然,协议还原喜欢这样的设备和APP。
长按进行关注。
车联网APP,安全设施薄弱的山寨品相关推荐
- 车联网-App车况展示数据设计思路
随着车联网发展,特别是智能网联,软件定义车等新赛道开启.主机厂和互联网深度融合,App中功能越来越丰富(车况.车控等).本次只是描述一下App中车况更新的思路. ①涉及到系统包括TBOX(负责收集车端 ...
- 【产品实战-乘风游旅游App】2.0 竞品分析与乘风游的产品定义
在线自助游应用,目前主要分为两类:在线旅游型产品,典型代表:途牛旅游:攻略型旅游产品,典型代表:马蜂窝.穷游.本期主要以上述三类典型产品进行分析. 途牛旅游App 途牛的核心业务为:在线跟团游和在线自 ...
- 某车联网App 通讯协议加密分析(四) Trace Code
一.目标 之前我们已经通过Trace Block 来比对了Unidbg和App跑的结果.现在他们运行的流程都差不多了,但是结果还是不对,今天我们就要通过Trace Code进行更细致的对比. v6.1 ...
- 竞品分析:小宇宙APP——如何在播客领域站住脚?
一.竞品分析前言 1. 竞品分析描述 分析社会发展.网络音频市场和用户群体,了解用户需求,挖掘用户痛点,衍生产品核心功能: 分析播客音频型APP,通过直接竞品了解行业APP基础功能,通过间接竞品了解A ...
- 剧本杀APP发展如何——“我是谜”竞品分析
一.项目描述 1. 分析目的 分析剧本杀行业市场和用户群体,了解用户需求,挖掘用户痛点,衍生产品核心功能. 分析剧本杀APP竞品,通过直接竞品了解行业APP基础功能,通过间接竞品了解APP特色功能. ...
- 爆品铺货新出路?选品为王的电商APP如何高效拉新,实现GMV飙升
这两年跨境"封号潮"频繁上演,这边亚马逊还没结束,那边PayPal又开始了.加强平台管控主要是为了打击"违规商家",降低消费者获得不良购物体验的可能性. 最倒霉 ...
- 模仿的两端分别是山寨和微创新
模仿的两端分别是山寨和微创新 --- 2012移动开发者大会参加有感 2012移动开发者大会已经落幕,尘埃落定了.精彩的大会给我留下了深刻的印象,见到了仰慕已久的开复老师,小马哥,蒋总,这次算是见到真 ...
- 0-2岁的app开发人员必读,Android开发APP前的准备事项
2019独角兽企业重金招聘Python工程师标准>>> 随着移动互联网的兴起,各行各业对移动应用的需求越来越大,从事APP开发的人也越来越多,APP开发行业可以说是方兴未艾.APP开 ...
- 转账给张三,钱却被李四收到,如何狙击凶险的 App 漏洞?——专访娜迦CTO玩命...
这是怎么回事? 是的,很遗憾,你可能给别人充值了.但是,叫天天不应,叫地地不灵,运营商也没收到你这笔钱. 专注移动应用安全的娜迦信息公司 CTO 阎文斌(花名:玩命)告诉正在阅读的读者你,不要不相信, ...
最新文章
- 情绪调节的自适应_心理健康系列 | 大学生常见情绪问题及调试方法
- 机器人技术推动工业领域的数字革命
- 信号建模与参数估计作业重新计算
- 利用Spring的ApplicationEvent执行自定义方法
- Cpp 对象模型探索 / 虚基类表作用
- (转-这篇文章非常棒) Thread的中断机制(interrupt)
- 单一窗口关区备案_深圳跨境电商企业进出口备案,赶紧码下学习
- 3D Slicer源代码编译与调试
- 上下相机贴合对位计算公式_深圳贴合机生产家介绍;真空贴合机这些产品功能你了解多少...
- 挑选大数据营销平台应注意哪些问题
- 卡贴机变无锁教程_iphone卡贴机ICCID激活去掉卡贴变成无锁机的教程及原理
- Word引用参考文献
- 语义分割之《CCNet: Criss-Cross Attention for Semantic Segmentation》论文阅读笔记
- 荣耀3x android 5.0,华为荣耀3X畅玩版_EMUI2.3_Android4.4_完整
- C#实现rar压缩与解压缩文件的方法
- 安卓的个性化彩色二维码的完美实现
- 购买的腾讯云服务器一直被ddos恶意攻击怎么解决
- gnuplot使用简介
- 在线HTML编辑器html源码
- 程序员的职业病,一定要注重身体健康才是最重要的