红心浏览器:安全性也堪忧
想必大家都知道红芯浏览器事件是怎么回事。号称自主创新、自主可控、打破美国垄断的浏览器,里面居然有Chrome!2016年的Chrome!一切都没有改变!
事实上,红芯这个名字完全是今年4月中兴事件后人们在讨论自主可控时的一种“炒作行为”,因为此前红芯被称为“云适配”,专门为企业做网络PC。云端适配移动端业务表现较为理想。然而,今年4月后,看到“商机”的CEO陈本峰将云适配更名为红芯,公司主营业务也转变为“安全数据传输”。
我们服务的客户范围从国务院网站到国家电网、国家发改委、中车、国家航天局、统计局等核心单位。
RedCore的墙壁上贴满了客户的标志
因此,在美国媒体的报道下,它成为了一款抄袭谷歌Chrome的软件,摇身一变成为国家的核心单位。这不是向美国贸易战发射炮弹吗?
但别以为红芯浏览器的愚蠢只是这么“初级”。
事件发生后,红芯承认其使用了Chromium开源项目,但仍表示虽然使用了它,但它有很多“绝活”。RedCore本质上不仅仅是一个浏览器,它是RedCore安全控制后端和RedCore的组合。核心安全应用网络管理形成跨设备的安全办公整体解决方案。
但是,这个浏览器真的安全吗?有人测试了它,发现了一个公共漏洞,并轻松侵入了浏览器。
那么,红核浏览器真的安全吗?
有人利用半年前的一个漏洞进行了测试。该漏洞由普林斯顿大学安全研究员StevenEnglehardt发现。黑客可以窃取浏览器中保存的用户名和密码,而无需与用户交互。
第一步,在专家搭建的测试页面输入用户名和密码;
第二步,选择保存密码(实际情况下,用户已经保存了密码);
第三步,你会发现demo界面上已经出现了密码!
我们常用的浏览器(IE、Chrome、Safari、火狐、360安全浏览器……)都已经修复了这个漏洞,但是红芯浏览器仍然存在这个漏洞。
美国著名安全工程师海因里希提出了海因里希定律。这条定律的意思是:当一个企业存在300起隐患或违法行为时,很可能会发生29起轻伤或故障,同时也可能发生1起重伤或死亡。。
当一个不懂编程,只靠公开信息进行测试的人被骗的时候,其安全性可想而知。
我们在国家信息安全漏洞数据库中搜索了与Chrome相关的漏洞。从2016年6月至今,Chrome漏洞数量已超过200个。
红核浏览器内核
换句话说,管理员必须用含有200个Chrome漏洞的浏览器在互联网上裸奔。
另外,有程序员实验发现,红芯的PasswordManager插件中存储的密码仅存储在本地,并未加密,这意味着用户可以知道使用同一台计算机的其他人的密码。
此外,有媒体采访了多位互联网工程师。阅读代码后,他们发现红芯的代码存在注释过多、代码冗余、语言过时等问题。甚至有工程师测试后发现,该插件的保密性是错误的。宣传。
一位从事数据相关业务的工程师告诉澎湃新闻,红芯浏览器插件源码中存在大量注释,似乎注释过多。一般来说,熟练的程序员在编写代码时不会注释掉所有内容。简单的接口不需要注释,也不需要重复注释。
“注释的主要作用是提醒程序员某段代码的用途,但每句话都加注释,既浪费工作效率,又显得很业余。”一位从事汽车软件开发的工程师说道。
另一位来自外资科技公司的程序员向记者评价:“中文注释的水平可能不高,这意味着懂英语的人不多。”
而且,一位程序员认为,产品上线后,大量的评论都没有得到处理,根本无法指望它有任何安全性。“评论是解释程序操作的文档。它们通常在产品推出后被删除,以防止被其他人使用。”人们了解了运行机制,然后进行攻击,这是最基本的安全意识。”
红芯浏览器插件代码几乎每一行都有中文注释
另一个比较明显的问题是,宏芯的代码被一层层复制,存在大量冗余内容。
”以密码管理器插件为例,在它的源代码中,一个只有350行的文件有100行重复。这说明编写插件代码的程序员不懂封装,即将插件抽象出来。将代码的相同部分放入一个单独的函数中,”一位程序员指出。
LstPass密码管理插件演示
一位资深前端工程师指出,市面上成熟的前端团队很少使用JavaScript语言,而是使用Typescri来进行工程用途。pt构建项目。“红芯的代码不仅仅是JavaScript,还是第六版之前的风格,没有经过代码构建和混淆、去注释、压缩等过程,这是严重缺乏专业性的。一般来说,这个这类代码只会在外包代码中才会出现。”
事实上,业内人士白晓勇表示,陈本峰深耕浏览器多年。早期,他的团队通过“双布局引擎转换”,将电脑浏览器的宽版变成了针对移动端的窄版,有其技术创新和市场价值。尤其是当互联网向移动终端转移时,网页布局转换的需求越来越强烈。
这是红芯浏览器的特色之一。拥有移动适配引擎,帮助国企、政府部门的一些旧系统顺利进入移动端,兼容“飞腾”国产芯片和“银河麒麟”国产操作系统。。
据使用过浏览器的人反映,其实这个软件对企业还是有一定帮助的。RedCore浏览器管理员可以执行员工策略管理等各种功能。在策略管理上,红芯浏览器提供禁用另存为、打印、水印等操作,防止机密信息泄露。另外,管理员还可以上传红芯浏览器的更新包(由于漏洞较多,也可能是木马程序),让员工在无意识的情况下进行升级。
程序员测试发现,红芯浏览器插件并没有实现产品中宣传的数据加密沙箱功能。
虽然红芯浏览器号称拥有15项专利,其中包括安全控制引擎、数据加密沙箱等多项专利。但我还没看到红芯修复了Chrome的200个漏洞,而且这些漏洞早就被公开了。黑客可以直接利用它们,如上面的视频所示,普通用户也可以直接利用它们。当最基本的安全性没有基本满足时,所谓的加密算法只是空中楼阁。
另外,使用红芯浏览器的用户是否应该担心自己的机密信息已经成为黑客公开的秘密?
至于使用过红芯的企业和政府机构?谁可以接受采访?谁愿意向领导或者民众解释一下,这里花的钱值不值得?
欢迎关注网络第一家科技播客TechnologyEnergetic,与您分享最酷的科技新闻和最前沿的科技产品!还有最新最潮的语音播报!
相关文章
