社交類APP的通訊安全測試

張玉梅

(武警天津市總隊 天津300011)

社交類APP的通訊安全測試

張玉梅

(武警天津市總隊 天津300011)

嘗試給出有關即時通訊類APP通訊安全方面的一個測試方法，并按照該測試方法對1個較有代表性的社交類通訊軟件——微信進行測試，結合測試結果對相關社交類通訊軟件的通訊安全進行了討論。使用等價劃分法、組合測試以及錯誤推測法等應用于PC端軟件測試的理論方法，對社交類通訊APP消息傳遞安全的保護是否能滿足基本要求進行了驗證。

通訊 社交 APP 測試 安全

1 背 景

1.1 研究背景及意義

在智能手機高度普及的今天，社交類通訊APP隨著智能機的普及滲透到人們生活與工作的方方面面，很多大中型企業的職員也更傾向于使用社交軟件就工作內容進行通訊與交流，而通訊時有關通訊內容的安全性問題卻很少得到大多數人的關注。

由于國內移動端通訊運營商對網絡流量的收費不菲，在很多情況下，當外界存在公共無線網絡時，多數人都傾向于連接公共網絡上網以節省流量費用。盡管通過近些年媒體的相關報道與知識普及，我們已經知道在使用公共網絡進行上網時，容易遇到釣魚網站或者網銀被盜等問題，大多數用戶也已經了解在使用公眾網絡進行上網時盡量不輸入重要的賬戶密碼。但同時，在多數人連接公共網絡使用社交類APP進行通訊的時候，如果該社交類APP并沒有對相關消息進行很好地加密，一旦不法分子對公共網絡進行網絡監聽，那么用戶的個人隱私、重要的商業機密甚至是國家機密就有可能被竊取，后果不堪設想。因此，社交類APP的通訊安全顯得格外重要。

另一方面，在軟件測試領域中，對PC端的軟件進行測試的方法以及理論已經相當成熟，而針對移動端的軟件測試方法以及理論并沒有一個完善的體系。本文通過對特定場景下使用社交類APP的通訊安全情況進行了測試，在沒有源碼即無法進行白盒測試時，基于等價類劃分測試等不同的測試思想，并采取黑盒測試方法與監聽抓包相結合的方式，得出了對移動端APP通訊安全比較方便有效的一款測試方法。

1.2 相關網絡知識介紹

無線局域網由無線接入點、無線網卡、通訊設備和相關拓撲設備組成。有線網絡先連接到無線接入點，所有通訊設備收發網絡報文都經由自己的無線網卡收發數據，無線接入點接收、發送設備需要收發的網絡報文，再通過有線網絡實現與因特網的交互。

在這個過程中，無線數據的收發并非是精準的點到點傳播，而是局限在一個范圍之內的信號傳輸，所以在這個無線范圍內的任何用戶都可以接收其他用戶發送的無線信號，通過特定軟件對報文進行分析，通過對數據包的解析完成監聽。

大部分社交通訊類APP使用的是HTTP協議來傳輸數據，在測試當中發現微信也是使用HTTP協議來進行收發數據，而大多數抓包監聽軟件支持對該協議的分析，所以可以利用抓包監聽軟件對APP的數據流進行監聽與分析。

1.3 微信軟件介紹

微信是騰訊公司于2011年推出的一款智能機即時通訊類軟件，2014年微信月活躍賬戶突破4億。其擁有的發送即時文字、語音、表情消息，傳遞圖片，推送網頁消息，語音通話，視頻通話，朋友圈等核心功能讓廣大的客戶群對其產生了強大的依賴性，帶動了微商、公眾號、微信電影等相關模塊的發展，已經完美地滲透到人們生活的各個方面。微信軟件作為推廣力度最大、使用人數最多的即時通訊類軟件，是本次測試的首選實驗對象。本次測試使用微信6.2.2版本進行測試。

1.4 抓包軟件介紹

Fiddle為一款方便快捷的HTTP調試軟件，同時也可以作為手機通訊的代理來抓取手機通訊報文進行分析。在抓取微信的通訊報文時，首先將微信軟件所在的手機設置Fiddle軟件為其通訊代理，即所有微信的通訊報文都要經過Fiddle的代理，通過Fiddle所在的電腦進行通訊。可以使用Fiddle自帶的篩選功能通過對服務器地址的篩選來選擇需要的通訊報文，同時使用微信進行重復單一的操作，再從微信的通訊報文中找到操作相應的一系列報文，通過觀察報文是否進行加密來判斷微信是否對其進行了基本的通訊安全保護。

1.5 智能機系統介紹

在這里本次測試使用了用戶群比較廣泛、具有一定代表性的iPhone作為測試用機，iOS,8.1.2作為測試機的操作系統。iOS的流暢性較好，且其權限機制可以使系統上的軟件在最大程度上發揮自己功能的同時受到來自系統權限的限制，讓用戶的隱私與手機安全性得到良好的保障。這也是很多用戶更傾向于選擇蘋果手機而不是安卓手機的主要原因之一。在本測試中選擇以流暢度更好的iOS系統作為實驗系統。

1.6 代理端系統介紹

在測試過程中，使用了Win,7操作系統作為Fiddle代理端所在的操作系統。作為替代Windows XP的操作系統，Win,7系統以其更好的效率和更簡單易用的功能按鈕得到了更多用戶的青睞，在逐漸變得更加穩定成熟的同時，Win,7已實現逾50%,的使用率，從而成為最受歡迎的操作系統。本次測試使用穩定性更好的Win,7系統作為實驗平臺來保證測試的順利完成。

2 測試過程及結果

首先，在測試機中安裝微信軟件，登陸常用的微信賬號，設置Fiddle軟件作為測試機的通訊代理。測試過程中，對微信進行單一的重復操作，例如傳遞各種形式的消息、瀏覽公眾號文章、刷新朋友圈等，確保通訊報文中存在相應操作的通訊報文，并同時使用Fiddle查看通訊服務器以及報文格式、內容等信息，對通訊報文進行篩選以得出相應的通訊報文，測試部分如下：

2.1 文字消息傳遞

在眾多消息傳遞方式中，文字消息傳遞是最普通、最常見也是被應用最多的消息傳遞方式，現在很多組織已經依賴微信的群聊天功能作為發送通知的主要手段之一，但如果文字消息本身并沒有進行加密處理，在使用公共場所的網絡環境進行消息收發的同時，很可能被第三方竊取，造成商業機密甚至是國家機密的泄露。因此，我們將文字消息的測試放在最首要的位置。

首先，登陸微信賬戶，向指定微信好友發送消息，并重復進行消息發送，這些消息包含純中文、純英文、符號以及各種混合消息，使用Fiddle軟件按照Host地址進行分類，查看相應報文，使用微信好友賬號向本賬號發送不同格式的文字消息，使用Fiddle軟件按照Host地址進行分類并查看相應報文，部分報文截圖如圖1所示。

從報文的內容可以看出，在發送、接收文字消息時，微信對相應的消息所在報文進行了基本的加密處理，使用公共網絡環境進行通訊，即使我們聊天的相關報文被輕易抓取、監聽，也不必擔心聊天內容會被輕易破譯。從最基本的通訊安全角度上來說，微信軟件做到了應有的消息保護。

2.2 語音消息傳遞

語音消息傳遞是最直接方便的信息傳輸途徑之一，在文字不能輕易解釋清楚或是文字輸入不方便時，更多人傾向于語音輸入。微信留言形式的語音消息輸入讓接收者擁有了更多的選擇，其類似留言信箱，但同時擁有即時性的功能得到了大規模的應用，所以本測試也將語音消息輸入作為測試對象。

圖1 文字輸入報文截圖Fig.1 Screenshot of character input message

在測試過程中，登陸賬號并向指定好友發送重復、單一的語音消息，這些語音消息長短從幾秒鐘至幾十秒不等，使用Fiddle軟件按照Host地址進行報文分類，查看相應報文信息，使用該好友賬號向本賬號重復發送長短不同的語音消息，分類、篩選、查看相應報文，報文內容與圖1類似，均為已加密報文。從報文的內容可以看出，微信在對語音消息的傳輸上進行了基本的加密處理，我們在使用公共網絡環境時可以相對放心地使用語音傳遞消息。

2.3 圖片消息傳遞

圖片消息傳遞可以更直觀地表達語言與文字難以表現的信息，例如座次表、值班安排表等，因而在實際工作與生活中得到了用戶的青睞。圖片消息的通訊加密處理同樣是一個比較重要的測試項目。

在測試過程中，使用本微信號重復發送圖片至指定微信號，這些圖片包括高清圖片和大小只有十幾kb的小型圖片，使用微信好友賬號向本賬號重復發送圖片，使用Fiddle篩選、查看報文信息，報文內容與圖1類似。從報文的內容可以看出，微信中圖片消息的發送已經經過加密處理。

2.4 表情消息傳遞

表情消息是微信功能中相對其他通訊軟件做得更好的部分，微信支持自定義表情以及添加表情，其特有的表情庫方便用戶使用表情來代替生硬的文字回復消息，這也是微信被普遍使用的重要原因之一。

在測試過程中，選擇向指定微信號重復發送特定表情，這些表情包含了微信系統自帶表情、微信商店購買表情以及用戶自定義的靜態表情和動態表情；使用微信好友賬號向本賬號重復發送不同類別的表情，使用Fiddle進行分類、篩選，可得部分報文為網絡鏈接形式的明文報文，從中篩選出網絡鏈接部分，其鏈接如下：

http：//emoji.qpic.cn/wx_emoji/6NaItiaqXxvtvzjQ AldnnzX9fB4MG02l7PTLj7nSI2Q7iacTibBth3UkQ/?ra ndid＝6905

使用任意瀏覽器點擊該鏈接可以得到如圖2的表情。

圖2 表情截圖Fig.2 An icon

從報文的內容可以看出，微信對表情消息的加密并不完全，微信沒有對表情消息的通訊報文進行加密，這是其安全性能的漏洞之一。

2.5 網頁鏈接消息傳遞

網頁鏈接消息可以將第三方消息輕而易舉的轉發給另外一個用戶，從而實現消息共享，網頁鏈接同樣是人們常用的分享信息的重要途徑之一。

在測試過程中，使用自己的賬戶向微信好友重復發送網絡消息鏈接，該鏈接包括內網鏈接以及外網鏈接，之后使用微信好友賬戶重復發送網頁鏈接，使用Fiddle對報文進行分類、篩選，對選定報文觀察報文的內容。在報文中，可以看到形如網絡鏈接的明文報文，其具體鏈接如下：

https：//mp.weixin.qq.com/s?__biz＝MzA3Mz Uz Mzg4OA＝＝&mid＝211025190&idx＝1&sn＝1a 00c66fa829dc3800d3bbbecbd7c346&scene＝1&srcid＝v706Ur4CThiRAmZzLZKP&key＝dffc561732c2265 1915becde12dcd6907a56b1a2fe6e864c0470a30eb3ae8c ae780d103791862f42ebb7fea6e7e29cf7&ascene＝14& uin＝MzgxOTg2MTc1&devicetype＝iPhone＋OS8.1.2 &version＝16020211&nettype＝WIFI&fontScale＝100 &pass_ticket＝TQkTUsS9TrHWEScM3QeIZODs%,2F 4s2a4dlWGNwo7jI2p0f6GOcYwfhJBxYtwl0rOVV.

使用任意瀏覽器打開該鏈接，會得到鏈接的具體內容，部分截圖如圖3所示。

從鏈接指向的報文內容可以看出，微信對含有鏈接消息的報文加密并不完全。網頁鏈接消息是人們傳遞重要信息的途徑之一，盡管保密程度較高的內網網絡鏈接通過外部網絡環境無法訪問，但是在使用公共網絡時，第三方完全可以捕捉到特定人所看的特定網頁，這在個人隱私和商業機密方面存在著很大的問題，這是該測試版本微信的通訊安全漏洞之一。

圖3 網絡鏈接內容截圖Fig.3 Content of web links

2.6 語音通話

語音實時通話是微信實時溝通的最方便快捷的方式，使用打電話的溝通方式來進行在線溝通方便快捷，同時又無需支付通訊費用，受到了用戶的喜愛。在測試過程中，使用本微信號重復與特定微信好友進行語音聊天，聊天的時間從幾秒種到幾十分鐘；之后使用微信好友賬號向本賬號重復發送通訊時間長短不等的語音聊天邀請，使用Fiddle篩選、查看報文信息，報文內容與圖1類似，從報文的內容可以看出，微信中實時的語音通訊已經經過加密處理。

2.7 視頻通話

視頻實時通話是微信的創舉之一，其可視化和實時通訊讓視頻通話在家人、朋友之間得到了廣泛的應用。在測試過程中，我們使用本微信號重復與特定微信好友進行視頻通話，視頻通話的時間從幾秒種到幾十分鐘不等；之后使用微信好友賬號向本賬號重復發送視頻聊天邀請，使用Fiddle篩選、查看報文信息，報文內容與圖1類似，從報文的內容我們可以看出，微信中視頻聊天的通訊已經經過相應的加密處理。

2.8 朋友圈更新

朋友圈是微信社交的重要突破之一。在測試當中使用測試微信賬號發布朋友圈，使用微信好友的賬號更新朋友圈，使用Fiddle對通訊報文進行分類、篩選，通過對報文內容的查看可以看到含有不同鏈接形式的明文報文，部分鏈接內容如下：

http：//103.7.31.165/mmsns/2kpMNDYsSfACnXG KUcd8lhicQNzP3Ocf8VmhWUpVS5iaVDSHbDB70v o67DaDZOLeeSH5ll24lA2uQ/0?tp＝webp&length＝1334&width＝750

使用任意瀏覽器查看該鏈接可得到如圖4所示圖片。

通過觀察可以看出，該圖片為好友朋友圈中更新的圖片。

圖4 朋友圈更新截圖Fig.4 An update in the Moments

同時我們也捕捉到了含有如下鏈接的明文報文，鏈接內容如下：

http：//203.205.151.203/mmsns/4376ae1e0cf0ccce d233def9ad1560d0dec29d64941ab85a3a2822dd793a4fa 8a86b5cbf2b10ba2f466a38daa0b6db49f448fcac9c4b03 5d/0?tp＝webp&length＝1334&width＝750.

使用任意瀏覽器點擊該鏈接并查看即可得到如圖5所示圖片。

圖5 朋友圈背景截圖Fig.5 A background of the Moments

通過觀察可以看出，該圖片為好友朋友圈的背景圖片。

同時，在操作過程中捕獲到了含有形似網絡鏈接的明文報文，其鏈接如下：

http：//wx.qlogo.cn/mmhead/ver_1/ySpUST6gp6ze 10ZicicJVDBeiaE2icoEAFLSibxHWJToSCdm3zHJrI8 mchdgNjPMJeyTeSX46P2weeGQZicqIXypbRYD0Des bsxjmCjcGUbVlXXmc/132?randid＝142

使用任意瀏覽器可以得到該鏈接所示信息，如圖6所示。

圖6 朋友圈好友頭像截圖Fig.6 A friend’s head portrait in the Moments

觀察朋友圈更新可以看出，該圖片為更新朋友圈其中一位好友的微信頭像。

從得到的報文來看，微信在朋友圈功能中對傳遞消息報文的保護工作做得極不到位，我們在使用公共網絡環境時可以很輕易地被第三方捕捉到朋友圈中的好友頭像、好友朋友圈背景圖以及好友更新圖片。朋友圈的更新應該是擁有相應瀏覽權限的人才可以看到，但在實際操作中捕捉到通訊報文提取其中有意義的鏈接即可，從這個角度來說，微信軟件對于個人隱私的保護是不夠充分的，這一點是該測試版本微信軟件存在的較大通訊安全漏洞。

3 測試結果與展望

從上面的測試所得報文中可以看出，在部分情況下，微信在傳遞報文的過程中對報文的保密性已經進行了基本的設置，但在用戶傳遞網頁鏈接消息、發送表情消息、刷新朋友圈更新內容時，報文中部分內容并沒有進行應有的加密處理，而通過報文中的明文鏈接可以清楚地看到報文的具體內容。如果我們在通訊過程中使用公共網絡環境，第三方可以很輕易地截獲報文內容，很容易泄露用戶的個人隱私甚至是公司、工作單位的機密消息。

本文通過對微信軟件的測試，給出了對手機端APP通訊安全測試的一個可行思路。在社交類APP越來越多的今天，旨在引發更多的針對移動端軟件的測試，希望測試領域在手機APP的通訊方面可以有新的標準與思路，在未來的測試中可以有更系統、更完整的測試評價方式。

［1］ 聶長海. 軟件測試的概念與方法[M]. 1版，北京：清華大學出版社，2013.

［2］ 郭衛香. 手機軟件系統測試方法分析與實踐[D]. 北京：北京郵電大學，2007.

［3］ 王希. 智能手機的黑盒測試設計及實現[D]. 北京：北京交通大學，2005.

［4］ 林璇. 手機軟件的測試過程研究[D]. 上海：同濟大學，2006.

A Communication Security Test for a Social Networking App

ZHANG Yumei
(People’s Armed Police Tianjin Corps，Tianjin 300011，China)

It is tried to give a testing method for instant messaging Apps and this method was used in a typical application，WeChat.On the basis of testing results，communication safety of the relevant social networking App was discussed.In this paper，theories and methods involved in PC software testing，including equivalence partitioning，combination testing，error guessing and other testing methods were used to test whether the social communications App is able to satisfy the safety requirements of message transmission.

communication；social networking；application(APP)；testing；security

TJ768.4

：A

：1006-8945(2016)05-0086-05

2016-04-22