最新消息:孤狼工作室文章系统正式上线!

红芯浏览器微信公众号文章发布到网站带来的危害不仅仅是“吹牛”

创业就业 科技富能量 893浏览

红芯浏览器事件大家大概都知道怎么回事了,号称自主创新、自主可控、打破美国垄断是微信公众号文章采集的浏览器,居然里面住着一个Chrome!而且还是2016年的Chrome!改都没改!


其实红芯这个名字,完全是今年4月在中兴事件后,人们对自主可控大讨论时的“投机行为”,因为此前红芯公司叫做“云适配”做的是专门给企业做网页PC端与移动端适配的,业务中规中矩,但是在今年4月之后,瞅准“商机”的CEO陈本峰将云适配改名红芯,企业的主营业务也摇身一变,成了“数据安全传输”。



服务的客户,从国务院网站,到国家电网、发改委、中车、国家航天局、统计局等核心单位。


红芯公司墙壁上贴满了客户标识


所以在美国媒体报道之下就成了抄袭谷歌浏览器的软件摇身一变进入国家核心单位。这TM不是给美国贸易战输送炮弹吗?


但别以为红芯浏览器的愚蠢只是这样的“初级”。

事发后,红芯认使用Chromium开源项目,但还在嘴硬,说虽然用了,但自家有很多“独门绝技”,红芯本质不只是一个浏览器,它是结合红芯安全管控后台以及红芯安全应用网管形成的一个跨设备安全办公整体解决方案。



但是,这个浏览器真的安全吗?有人测试了一下,随手找个公开漏洞,便轻松攻破了浏览器。

下面的视频演示,感受一下

↓↓↓↓


那么,红芯浏览器真的安全吗?


之前有人随手用半年前的漏洞测试了一下。该漏洞由普林斯顿大学安全研究员 Steven Englehardt 发现,黑客无需和用户进行交互,便能偷到浏览器中保存的用户名和密码。


第一步,在专家搭建好的测试页面输入用户名和密码;


第二步,选择保存密码(实际情况中,用户已经保存了密码);


第三步,你会发现密码已经出现在了演示界面上!


我们常用的浏览器(IE,Chrome,Safari,火狐浏览器,360安全浏览器,……)都已经修复了这个漏洞,但这个漏洞在红芯浏览器仍然存在。

在国家信息安全漏洞库查询了和Chrome相关的漏洞,从2016年6月到现在,Chrome漏洞的数量就超过了200个。


红芯浏览器内核

也就是说,管理员要带着包含200个Chrome漏洞的浏览器裸奔在互联网上。


另外,一位程序员试验发现,红芯的密码管家插件中所存储的密码仅存储于本地并且没有加密,即用户可知道使用同一台计算机的其他人的密码。

此外有媒体采访了不少互联网工程师,他们通过阅读代码发现,红芯的代码存在过度注释、代码冗余、语言陈旧等问题,甚至还有工程师测试后发现,它在插件的保密性上存在虚假宣传。


一位从事数据相关业务的工程师对澎湃新闻记者表示,红芯浏览器插件的源代码中存在大量的注释,显得注释过度。一般熟练的程序员日常写代码时不会所有内容都进行注释,简单的接口不用注释,也不用重复注释。



“注释的主要功能是提醒程序员某一段代码的用途,但每一句都加注释,太浪费工作效率,而且显得十分业余。”一位从事汽车软件开发的工程师这样说道。


另一位来自外资科技公司的程序员则向记者评价称:“中文注释说明水平可能不高,说明懂英文的人不多。”


而且,一位程序员认为,产品上线后大量注释都没有处理,没办法期待它有什么安全性可言的,“注释就是解释程序运行的文档,产品上线之后一般是要去掉的,防止被其他人摸清运行机制后进行攻击,这是最基本的安全意识。”


红芯浏览器插件代码几乎每一行都有中文注释


而另一个比较显着的问题是,红芯的代码被指层层复制,存在大量冗余的内容。

“以密码管家这款插件为例,它的源代码中,一个仅350行的文件就有100行是重复的。说明写该插件代码的程序员不懂封装,即把代码中相同的部分抽象成一个单独的函数。”一位程序员指出。


LstPass密码管理插件演示


一位资深前端工程师则指出,现在市面上成熟的前端团队很少使用JavaScript语言,为了工程化都是用Typescript进行工程构建的。“红芯的代码不仅是JavaScript,还是第六版之前的风格,没有经过代码构建和混淆以及去注释、压缩等过程。这是严重缺乏专业性的表现,一般这种代码只会在外包代码中出现。”

其实,业内人士白小勇表示,陈本峰深耕浏览器多年,其团队早期是把电脑上浏览器的宽版通过“双布局引擎转换”变成移动端的窄版,有其技术创新和市场价值。尤其当网络向移动端转移时,网页布局转换的需求越来越旺盛。


这是红芯浏览器的特点之一,有移动适配引擎,帮助国企、政府部门的一些老旧系统顺利走入移动端,并可与“飞腾”国产芯片、“银河麒麟”国产操作系统兼容。


根据用过浏览器的人说,其实对于企业来说,这款软件还是有点帮助的,红芯浏览器管理员可以进行员工策略管理等多种功能,在策略管理中,红芯浏览器提供了禁用另存为,禁止打印,加水印等多种操作,防止机密信息被泄露。此外,管理员还可以上传红芯浏览器的更新包(由于漏洞百出也可以是木马程序),让员工无感知升级。


程序员测试发现,红芯浏览器插件没有实现产品宣传中的数据加密沙箱功能


尽管红芯浏览器宣称有15项专利,包含安全管控引擎,数据加密沙箱等多项专利。但依然没有看到,红芯对Chrome的200个漏洞进行修复,而这些漏洞早已公开,黑客可以像上面视频演示的那样,普通用户也一样直接利用。当最基本的安全没有基本满足时,所谓的加密算法只是空中楼阁。


另外,使用了红芯浏览器的用户是不是要担心,自己的机密信息早已成为黑客公开的秘密?

至于使用过红芯的企业和政府机构呢?谁能采访到?谁愿意向领导或公众解释一下,钱花到这里,值得吗?


另外,这么一家“自主创新”企业,根据公开信息显示,“云适配”曾在2017年12月联合中科院计算机网络信息中心成立了“中科院移动应用与红芯云安全联合实验室”。提及此事,研究所一位教授表示,“红芯不过是希望能由中科院来做背书,他们投钱来建实验室。现在回过头来看,网络信息中心多少有点被这家企业利用之嫌。”

 

但是红芯这样一家企业,有着这样低劣的宣传,何德何能,拿到这么多政府订单?又是怎么和中科院联合成立实验室的?这,才是更值得我们深思的问题。


往期精选

点击图片查看

老罗的“子弹短信”能代替微信吗?

08-22

手机版的“PS”,女朋友不再说你是直男!

08-21

1798元起!锤子坚果Pro 2S发布:超强性能配置,还是熟悉的味道

08-20

如何快速找到


微信改版后

设置星标即可快速查看最新的内容

 

按设置星标后

打开订阅号消息,点击右上角即可查阅最新的推送

 

转载请注明:孤狼工作室 » 红芯浏览器微信公众号文章发布到网站带来的危害不仅仅是“吹牛”