微信MMTLS加密协议安全性分析

最新推荐文章于 2025-04-12 19:34:54 发布
最新推荐文章于 2025-04-12 19:34:54 发布
阅读量956 收藏 7
点赞数 8
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinansa/article/details/143231651
版权

微信在安全方面采取了一系列措施,但也存在一些潜在的安全风险和挑战,以下是对微信安全性的综合分析:

1. 微信的安全措施:

    加密技术保障通信安全:

        MMTLS加密协议:微信使用的MMTLS(Mobile Micro Transport Layer Security)加密协议是基于TLS1.3草案标准设计实现的安全通信协议。它处于业务层和原有的网络连接层之间,类似于HTTP加上TLS后变成HTTPS,由TLS保护HTTP数据。MMTLS主要包含Record协议、Handshake协议和Alert协议。Handshake协议用于完成客户端与服务器的握手协商,协商出一个对称加密密钥及其他密码材料,用于后续数据加密;Alert协议用于通知对端发生错误;Record协议则负责对业务层数据进行加密传输。这种加密方式可以有效防止数据在传输过程中被窃听、篡改和伪造。

        端到端加密的部分应用:用户到微信服务器的连接使用MMTLS加密,保证了信息在传输过程中的安全。信息到服务器后,对于一些特定的场景,如微信支付等关键业务,可能会采用更高级别的加密技术来确保数据的安全性。

    账号安全保护机制:

        强密码设置要求:用户在注册微信账号时,系统要求设置较为复杂的密码,建议包含大小写字母、数字和特殊符号,并且长度不少于8位,这样可以提高账号的安全性,降低被破解的风险。

        绑定手机号码与验证:绑定手机号码可以增加账号的安全性。一旦账号出现异常,如登录地点异常、密码被修改等,微信会及时发送短信通知到绑定的手机号码上,提醒用户注意账号安全。同时,在其他设备尝试登录微信账号时,需要进行身份验证,有效防止账号被盗用。

        应急联系人设置:用户可以设置应急联系人,在账号出现异常或丢失等情况时,可以通过应急联系人找回账号或获取相关帮助。

    安全功能与提醒:

        安全提示与教育:微信会定期向用户推送安全提示和教育信息,提醒用户注意防范网络诈骗、避免点击未知链接等,提高用户的安全意识。

        支付安全保障:微信支付提供了多种安全保障措施,如支付密码、指纹支付、面容支付等,增加了支付过程的安全性。同时,微信还提供了支付安全锁功能,可以在打开微信支付时,要求输入手势密码或指纹密码。

        隐私设置选项:用户可以根据自己的需求,对朋友圈权限、添加好友方式等进行设置,控制个人信息的可见范围,保护自己的隐私。

2. 微信存在的安全风险:

    网络诈骗与欺诈风险:

        虚假信息与链接:不法分子可能会通过微信发送虚假信息、植入木马的链接或图片等,诱导用户点击。用户稍不注意点击后,就可能会被窃取微信账号、银行卡、密码等重要信息。例如,曾有不法分子伪装成微信官方客服,以“支付安全认证”“安全支付管理”等昵称向用户发送消息,要求点击发送的网络链接,进行“微信二次实名认证”,当用户点击链接后,会划扣账户资金。

        社交工程诈骗:包括冒充熟人、领导诈骗,微信“引流”诈骗,“杀猪盘”诈骗等。诈骗分子利用微信的聊天功能,通过话术获取受害人的信任,进而骗取钱财。此外,微信群也可能成为犯罪的平台,如非法开展“黄赌毒”活动、掩饰隐瞒犯罪所得等违法犯罪行为。

    个人信息泄露风险:

        用户数据存储:用户在使用微信时,个人的聊天记录、绑定的手机号、身份证号、银行卡号等信息会被存储在微信后台。如果微信的安全防护措施出现漏洞,或者微信平台被黑客攻击,这些个人信息就有可能泄露,对用户的人身安全和财产安全造成威胁。

        小程序数据安全:微信小程序在使用时会获取用户的个人信息,如果小程序的开发者没有对用户信息在传输、存储过程中进行加密处理,就很容易受到攻击,进而导致用户个人信息泄露。

    第三方应用与授权风险:用户在使用微信时,可能会授权第三方应用访问自己的微信账号信息。如果这些第三方应用存在安全漏洞或者恶意行为,就有可能获取用户的微信账号信息,造成信息泄露。

    微信MMTLS加密协议的潜在安全问题:

        确定性IV问题:MMTLS加密过程每次连接生成一个初始向量(IV),然后为该连接中加密的每个后续记录增加IV。在AES-GCM的加密模式下,重复使用相同的(密钥,IV)元组是灾难性的,因为它允许从AES-GCM身份验证标签中恢复密钥,并且强大的对手可能会暴力破解特定的(密钥,IV)组合。而微信拥有庞大的用户量,这种攻击处于可行性范围内。

        缺乏前向保密性:现代通信协议通常要求具有前向保密性,以降低会话密钥的重要性。但微信的MMTLS在设计上大量使用预共享密钥(PSK),通过shortlink传输格式发送的加密数据以及长寿命的longlink连接发送的加密数据,在连接之间通常不会保留前向保密性。这意味着如果PSK密钥泄露,第三方将能够解密通过多个MMTLS连接发送的大量数据。

        业务层加密问题:微信的业务层加密结构存在一些问题,如对称模式AES-CBC结构本身存在密钥、IV重复使用等严重问题。虽然这些问题目前主要影响内部业务层加密,但仍然存在被攻击的潜在风险。并且业务层加密不会对用户ID、请求URI等元数据进行加密,这也可能导致信息泄露。

总体而言,微信在安全方面采取了多种措施来保障用户的通信安全和账号安全,但用户在使用微信时仍需要保持警惕,注意防范各种安全风险,不随意点击未知链接、不轻易泄露个人信息等。同时,微信平台也需要不断加强安全防护措施,提高加密技术的安全性,以应对不断变化的网络安全威胁。

微信加密与登录验证分析
qq_44774850的博客
04-23 5777
微信加密与安全通信流程分析 背景 ​ 微信渐渐已经成为了大多数中国人日常会话的通讯工具。微信的通信安全,很大程度上保证了普通民众的数据安全,也因此显得十分重要。 ​ 本文主要在其他对微信研究的基础上,进行了微信加密与验证的总结与分析。以便对微信的加密、验证安全有更加全面的接触与认识。 ​ 本文主要从加密算法、验证流程分析安全通信协议三方面进行介绍,主要对微信使用的mmtls进行了详细的分析。 加密算法 ​ 我们首先将从最基本的加密算法出发,研究微信的加密方式。在通信中微信用到的加密算法主要用RSA公钥加密
微信协议mmtls分析研究与总结
热门推荐
weixin_52699354的博客
11-20 1万+
前言 mmtls是基于1.3的tls协议简化修改而来,根据某公司的描述,这种安全可行,用于短连接的安全模式,也给了其他的公司启发,一方面,使用https在越狱root环境下,也容易被窥探,所以开发一种通用而安全的短连接加密协议,确实有些必要,我们想看看到底是如何实现的,所以抓个包,hook下数据来看看。 (不太清楚在这样的氛围下,能不能讨论这个,所以我决定先写一部分,要是可以继续说,再写后半部分,大家参考这种实现,实现出自己的通用加密传输协议) 关于mmtls的介绍可以阅读这篇文章 协议源码????【 16
微信IPAD协议分析
06-06
微信版本6.6.6 协议分析.能够实现微信各个功能。欢迎各位大佬给出意见
网络协议分析逆向以及微信协议分析
01-23
法国学者Georges Bossert和Frédéric Guihéry开发,以及PDF香港中文大学微信协议分析论文
微信 MMTLS 协议详解(五):长链接封包
小乖写代码
02-26 333
上述字段在打包的时候需要转换成网络字节序, 需要注意这个封包只是 mars 的封包, 微信业务本身还有另一层封包, 并且微信自己的封包也是加密的。所以这里有两层加密 mmtls 加密以及 业务加密。长链接发包和短连接不一样,没有明文部分,所有的数据都已经经过了MMTLS 加密,所以即使抓包也只是加密之后的数据,从开源的mars 代码还是可以分析出长链接组包方式。微信业务自己的加解密算法用的AES, 这个是登录之后协商出来的。这个协商步骤大概使用ECDH 协商,前提是必须要登录。登录部分的封包更加复杂。
微信 MMTLS 协议详解(三):ServerHello
小乖写代码
02-22 202
下图的6号数据包就是 服务器回复的ServerHello, payload 大小 599 字节。
转:基于TLS1.3的微信安全通信协议mmtls介绍
weixin_34066347的博客
05-18 1348
转自: https://mp.weixin.qq.com/s?__biz=MzAwNDY1ODY2OQ==&mid=2649286266&idx=1&sn=f5d049033e251cccc22e163532355ddf&scene=0&key=b28b03434249256b2a5d4fdf323a185a798eaf972317ca3a47ef060d3...
腾讯微信协议分析
dieTicket的博客
07-06 1315
微信登录收发信息及流程分析 自己实现的微信客户端登陆以及收发消息 登录以及同步消息 同步完成消息 接受以及发送消息
python web微信应用(一) 微信协议分析
chenwh_cn的博客
09-15 5921
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 之前使用python实现了一个微信客户端,支持二维码扫描登录,以及不同类型消息的收发处理,主要分析web微信客户端过程中各个流程 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import nu
微信端口及协议分析(java、C版)
09-01
最近接了个项目,项目需求是:手机通过WIFI连接上网,而老板要求,员工使用手机只能上微信,而不能上其他网页和看在线视频。下面通过本文给大家分享微信端口及协议分析,感兴趣的朋友一起看看吧
微信协议简单调研笔记
threadroc的专栏
07-16 5702
转自:http://www.blogjava.net/yongboy/archive/2014/03/05/410636.html
利用Wireshark软件对微信协议的分析
11-01
利用Wireshark软件对微信协议的分析,详细分析微信协议应答的过程
微信开发协议小结
09-01
通过本教程给大家分享微信开发协议小结的相关知识,非常不错,具有一定的参考借鉴价值,感兴趣的朋友一起看看吧
微信ipad协议,安卓协议,微信开发API接口
11-14
VX-MM TLS可能是微信的一种加密传输协议,确保数据在传输过程中的安全性。开发者需要仔细阅读这些文档,理解每个接口的使用方法、参数要求和返回值,以便正确地调用接口并处理响应。 总的来说,微信开发API接口是...
微信MMTLS协议深度解析与安全通信实现
最新发布
weixin_65409651的博客
04-12 592
V1PrivKey, V1pubKey := Algorithm.GetECDH415Key() // P-256曲线。helloContent.Write([]byte(lib.RandSeq(32))) // 随机化ClientRandom。V2PrivKey, V2pubKey := Algorithm.GetECDH415Key() // 备份密钥。hkdfKey := sha256.Sum256(sharedKey) // HKDF扩展基础密钥。
微信 mmtls 公钥 wireshark
09-07
mmtls协议中,公钥用于加密传输过程中使用的对称密钥,以保证数据传输的安全性。 使用wireshark捕获微信中的mmtls通信数据包时,我们可以尝试查看其中的SSL握手过程,这一过程中会涉及到公钥的交换。通过SSL握手...
微信安全吗?微信MMTLS加密协议安全性分析
极道Jdon的技术博客
10-17 1852
这个长寿命的 Longlink 连接在微信应用程序的持续时间内都是打开的,任何需要发送的加密数据都通过同一连接发送。由于微信发出的请求是双重加密的,这些问题只影响内部业务层加密,因此我们没有找到立即利用它们的方法。然而,在仅使用业务层加密的旧版微信中,这些问题是可以被利用的。其次,从业务层加密暴露未加密的内部请求 URI 的事实来看,微信的可能架构之一是托管不同的内部服务器来处理不同类型的网络请求(对应不同的“requestType”值和不同的 cgi-bin 请求 URL)。我们将这个问题留待将来研究。
微信 MMTLS 协议详解(四):短连接抓包
小乖写代码
02-25 478
下图的4号数据包 是一个普通的http post 请求数据包, payload 使用mmtls 加密发出去。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bj陈默

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值