|
|
外部公司为我们学校提供的互联网接入验证服务中存在一些可能对校园网内部学生及教职工个人信息的泄露的软件问题
,在这里提到的软件是(浙江大学宁波理工学院校园网客户端)。
存在问题的具体地方和发生时间是客户端软件在接入互联网及已经链接到内部网络但是未接入互联网的时候,
的此软件下面的有一个应用程序(PPT中有截图)向外部网络(大约十几个不同的ip)及锐捷报障云系统发送的 未加密 的包含部分个人信息及可以用来识别电脑信息的数据包,包括但不限于:
》内网ip,内网网关,内网DNS地址(主&备)
》外网ip,外网网关,外网DNS地址(主&备)
》上网账号(即学号)和学校代码(可以用来一一对应查找学生身份)
而此软件在安装时并没有提供最终用户许可协议(Eula)及任何其他形式书面文件提到这一点(这种做法就好像是一个非官方的小软件),并且值得一提的是这些数据都是一直在后台静默发送(并不是间歇发送),很少有人知道这件事情的存在。并且此程序在被限制链接后依然试图向多达20多个不同的IP建立链接。(下面的附件中列出了建立的IP列表及软件发送数据包的内容解析数据)通过对这些IP和数据包进行定向分析,有一些是包含个人信息,网络配置,学校信息的,如果遇到第三方的攻击(如在网关处截获)将会对个人信息安全造成严重威胁。
下面是使用wireshark捕获的数据包内容(部分带*进行了处理)以及PPT。
===============================================
K#sEP0@<
Q}jPn]P>�GET /helper/LogHandle.ashx?method=sendNetTestInfo&0=nit&1=317*******&2=2017-11-03+15%3a15%3a13.847&3=2017-11-03+15%3a15%3a14.647&4=-1&5=-1&6=-1&7=-1&8=0&9=0.221&10=0.18&11=0.076&12=0.253&13=0&14=0.1825&15=0&16=0&17=Windows+7+Ultimate+7601&18=2300%2f&19=2%2c048MB+(2%2c048MB)&20=80.80.80.81%2f80.80.80.80%2f8.8.8.8%2f114.114.114.114&21=124.89.192.28&22=0&23=Auto&24=&25=10.81.11.125%2f192.168.121.1%2f192.168.157.1&26=10.81.15.254&27=2.2.2.4&28=7 HTTP/1.1
Content-Type: text/xml
User-Agent: Opera/9.25 (Windows NT 6.0; U; en)
Host: www.xrysbx.com
===============================================
下面是使用火绒监控到的连接到的远程ip列表:
host 27.115.124.192 or 42.236.73.164 or 58.87.81.218 or
58.250.125.37 or 58.250.125.49 or 61.135.169.125 or 61.135.218.27
or 61.135.169.125 or 42.236.73.164 or 101.66.224.145 or 112.80.248.122 or
120.133.2.242 or 123.126.51.32 or 123.126.51.33 or
140.207.205.40 or 140.143.114.22 or 218.106.154.149
|
|
收藏
