个推sdk协议PushDown漏洞报告

0x00序

应用程序通过集成第三方推送sdk来达到给客户端推送消息的功能。目前国内的推送sdk比较流行的是个推,据其官网介绍,个推第三方推送市场的占有率达90%以上,其典型客户包括新浪微博、去哪儿、虾米音乐等应用。
但由于个推协议的密码学设计存在严重缺陷,导致整个通信的安全性完全遭到破坏,所有推送流量都可以被解析,中间人可对推送内容进行任意更改,我们将此漏洞命名为 PushDown,下面对其进行详细介绍。

0x01影响和危害

截止至本文发布之日,个推sdk的版本更新至2.8.1.0(发布时间2016-03-01)。经测试确认,此版本及之前可找到的版本均存在该问题,因此PushD[……]

MORE