百度浏览器的“海外加速”很可能是个有意进行中间人攻击的蜜罐

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

This topic created in 4173 days ago, the information mentioned may be changed or developed.

访问Google等网站时百度浏览器会自动启动baidubrowser_proxy.exe 然后将所有流量重定向到本地的proxy端口 proxy的连接目标在我这里是111.206.37.99 一个北京联通IP
到这里都还没什么问题，而且用https google时那个proxy也会与那个IP正常建立TLS连接非常像一个无害的代理
但抓包后发现从百度的proxy服务器返回的TLS Server Hello信息里证书并不是Google G2而是一个百度的自签发在wireshark里把字节流导出后得到这么一个证书文件上传到我个人博客了各位自己看吧。
http://toby.so/wp-content/uploads/2014/11/BaiduProxyMITM.zip

当然，百度浏览器本身肯定不会给显示证书的

具体的信息我再确认整理下一会发，现在可以知道的是这个“海外加速”把所有数据发往北京联通服务器且可能是个有意对加密连接进行中间人攻击以嗅探内容的蜜罐

proxy

蜜罐

中间人

26 replies 2014-11-25 13:04:31 +08:00

tobyxdd

Nov 22, 2014

也有一种好一点的解释就是百度自己用SSL封装所有代理数据发往那个IP所以看到的是百度证书...

a2z

Nov 22, 2014

好一点的解释也足够说明是百度在中间人攻击了

glados01

Nov 22, 2014

请教楼主：
用 vpn 下载或更新 google play 的应用有没有安全隐患?比如说google账号密码被截取什么的?
上fb或者twitter呢?

tobyxdd

Nov 22, 2014

@glados01 全程https且没被中间人攻击就没什么问题如果是登录明文网站就得看你vpn加密程度和vpn提供者本身会不会在服务器上监控你

tumutanzi

Nov 22, 2014

前几天，我就说了："360浏览器推出有选择翻墙功能" （虽然如此，建议不要用！）为什么此段时间这些公司都推出这些东西？为什么？

MacGG

Nov 22, 2014 via Android

@tumutanzi 难道墙要倒了吗

lightening

Nov 22, 2014

浏览器作为SSL的一端，本来就什么都知道的……

tumutanzi

Nov 22, 2014

@MacGG 短期内不可能的，意识形态之事，从来无小事。墙倒则意味着更大的东西改变，我就不说了。

tumutanzi

Nov 22, 2014

@MacGG 这事不敢想象，一个做搜索的，提供方便给它的用户使用其竞争对手的服务，不合逻辑啊。

xxhjkl

Nov 22, 2014

我比较关心的是，FB可以走这个proxy吗

oott123

Nov 22, 2014

百度自己本身就是通过 SSL 连接那个服务器啊，你访问过去不就看到了一个需要认证的 squid ……
也就是说这个 SSL 里面走的是明文还是密文，无从知晓，除非你可以解密那个 SSL 。

@lightening 说得很对，没必要中间人，反正浏览器这一端什么都知道……

lfzyx

Nov 22, 2014

扳手指都可以想到国内的公司怎么敢跟官府对着干，必然是有目的的

Busy

Nov 22, 2014

楼主的意思是，小白用的 goagent，就是个中间人攻击的蜜罐？

tobyxdd

Nov 22, 2014

@Havee 这和goagent有什么关系？

exploreexe

Nov 22, 2014 via iPhone

虽然不懂原理，但是鉴于百度公司的节操也是不敢用的。

曾经研究过某二线城市的网吧系统所有聊天记录都指向市xx局服务器，更是可以看到所有人聊天记录。当时就对天朝失去信心了。

还是自建或者用一些不太高调的vpn服务吧。

lehui99

Nov 22, 2014 via Android

@oott123 破解这个squid的密码就能给其他浏览器用了。见 /t/144377 第36楼

SquirrelMAN

Nov 22, 2014

在理。

xoxo

Nov 22, 2014

这个问题呢，有多方面的原因：
最可能是因为需要代理的服务较多, 所以做三层转发所需要的代理服务器太多，然后就自己签发了一张证书，来做七层转发？

xierch

Nov 22, 2014

首先浏览器它自身什么都看得见，要做什么都可以..

但如果它没在 proxy 上做 MITM，是否有可能让可信的浏览器使用这个 proxy 呢？

oott123

Nov 22, 2014

@lehui99 /t/132098

既然说了是 ssl 的，那通过抓包这种中间人的方法是没办法破到密码的。
个人认为大概要用到 IDA 或者 CE 之类的内存调试工具才可以？这一块我不熟悉。

aero99

Nov 23, 2014 via iPhone

@exploreexe 太可怕了

cnbeining

Nov 23, 2014

如果这不叫SSLStrip那这世界上就没有攻击了。

Google也有流量压缩代理，但是服务器不能转发（就是不能）SSL的东西。

goagent本身就是MITM，当然作者也明确说了，这个东西不安全。那就怨不得别人了。。。

matthewgao

Nov 23, 2014

因为百度做了一次SSL的DPI

lehui99

Nov 23, 2014 via Android

@oott123 不用这么复杂，直接做劫持就能得到密码了，没有做代理的ssl证书校验

Heracles

Nov 23, 2014

@MacGG 我认为应该是实名、可监控翻墙的开始

chengr28

Nov 25, 2014

这个本质上是用 Squid 搭的代理……百毒浏览器默认用的是加密，测试发现普通连接也能用来代理，当然要能如 16L 所说猜出用户名和密码……至于会不会被服务器截获，应该是有可能的。如果是普通 Squid 搭的代理用 HTTPS 服务器当然是看不到的，但是天知道百毒浏览器里是怎么玩

或者如果你们不放心可以去下这个小工具把那个证书吊销掉，我刚刚加上去了。不过实测百毒浏览器那个 proxy 貌似不验证书，吊销了都没有反应照样能代理……
https://github.com/chengr28/AntiChinaCerts