2010年12月13日月曜日

【注意】中文版Google Talk是未加密明文传输聊天内容

【注意】中文版Google Talk是未加密明文传输聊天内容


八卦小组 看到一个令人震惊的消息:中文版Google Talk是明文传输聊天内容,我验证了一下,的确是明文,截图如下:

 http://olds.blogcn.com/wp-content/uploads/74/7487/2009/08/16.jpg

请各位Google Talk用户注意鉴别阉割版,老大哥在注视着你!

记得以前wikipedia说过,Google官方承认Google Talk的end-to-end的聊天是未加密的并不能保证一个终端到另一个终端都是加密的

    [...] that the connection between the Google Talk client and the Google Talk
    server is encrypted. This prevents others from seeing your mail
    notifications, Friends list, and other personal settings. The
    encryption also prevents others from seeing messages between your
    desktop and Google's servers. However, encryption is not end-to-end, so
    there is no guarantee that the messages are encrypted when sent to
    another user. IMs will not be encrypted in these scenarios:

    - Sender/recipient is using Gmail's chat features over HTTP
    - Sender/recipient is on a federated network that doesn't support
    encryption
    - Sender/recipient is behind IMLogic or another similar proxy

具体什么是end-to-end,我猜应该是p2p的libjingle某些情况下是直接未加密传输的吧? 也就是说,如果你用的是英文版的Google Talk,那么Google Talk从你桌面到Google服务器是加密的,但是从Google服务器出去,到你聊天对象那里加密与否,Google不能保证。

其他未加密的情况有:通过http的Gmail测栏聊天;通过IMLogic等代理登录GTalk;你所在的XMPP federation不支持加密。

下面具体说明一下我所知道的 GoogleTalk 各个版本加密与否情况:

中文版 Google Talk(安装文件URL) 1.0.0.105,使用的未加密明文传输XMPP
 http://olds.blogcn.com/wp-content/uploads/74/7487/2009/08/2.jpg

繁体中文版 Google Talk (安装文件URL)1.0.0.105,同样是未加密
 http://olds.blogcn.com/wp-content/uploads/74/7487/2009/08/15.png

英文版 Google Talk(安装文件URL) 1.0.0.104 则是TLS加密,一般来说无法破解和嗅探
 http://olds.blogcn.com/wp-content/uploads/74/7487/2009/08/3.jpg

Google Talk Labs Edition(安装文件URL)1.0.267.233,看了下,使用的也是明文传输,不是通过XMPP协议,而是普通HTTP GET和HTTP POST,通讯网址是 http://talkgadget.google.com/talkgadget/msg
 http://olds.blogcn.com/wp-content/uploads/74/7487/2009/08/4.jpg

Gmail侧栏iGoogle里嵌入的Google Talk,以及Google Talk Gadget和网站连接方式和网页制作设定有关。一般来说网页是https://开头的就是加密的。普遍国内 Gmail 用户使用https的习惯还是有的吧?

第三方XMPP客户端(例如pidgin)登录GTalk的,选择TLS就算加密。
 http://olds.blogcn.com/wp-content/uploads/74/7487/2009/08/1.gif

长期用英文版还没注意到这个严重的问题,直到有人说抓包发现Google Talk是明文。才发现中文版居然是未加密的。汗死!这一点谷歌算作恶了吧?明明知道国内网络环境不太好的,居然还把加密取消了,也不说明一下。

更新

根据抓包的情况来看,有一个方法估计可以屏蔽中文GTalk,Jabber ID(JID)是由 node@domain/resource 这个格式构成的,XMPP客户端可以尝试屏蔽(如果支持的话)以 Talk.v105 开头的resource。目前我也没有具体步骤,只是说这个可能实现的原理。

标签: google, Google Talk, TLS, xmpp

这篇文章发布于 2009年08月25日,星期二,19:15,归类于 Hacks, software 您可以跟踪这篇文章的评论通过 RSS 2.0 feed。 您可以留下评论,或者从您的站点trackback编辑.


22 条评论 发表在"【注意】中文版Google Talk是未加密明文传输聊天内容"上



2.     

    http://id.blogcn.com/user/1a013b6a32e6d80a3c3d7cae/ monnand 说到:
    2009-08-25 @ 22:35 (编辑)

    XMPP提供的是下层通信协议。上层的加密完全可以在通信双方进行协议,这样更加灵活,安全。
    试想:通信双方实现协定好加密算法和密钥,通过XMPP协议,利用gtalk传输。这样即便中途信息被劫持,也很难破解。
    我们再看看QQ:通信的每一方和服务器协商一个密钥,全部信息都转发给服务器,服务器解密后再加密传送给目的端。换句话说,服务器完全控制着加密的全部流程。随时可以过滤。你不信?多少人都是因为QQ里面谈论敏感信息被请去喝茶,甚至成为法庭证据啊。

    回复

3.     

4.     

5.     

6.     

7.     

8.     

9.     

10.    

11.    

12.    

13.    

14.    

    http://id.blogcn.com/user/a8e1ee5549ab78e043b15652/ 吴思想 说到:
    2009-09-04 @ 21:46 (编辑)

    如果就连Google中文版talk都未加密,信息可以被中途拦截破解;可想而知QQ的服务器只能对"老大"更开放更透明。
    不过,话说回来,任何保密措施都是相对的,如果老大想知道些什么你再怎么也隐藏不住;告诉自己的朋友们:各自小心,各按天命,其它悉听君便。

    回复

15.    

16.    

投稿者 時刻:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)