—

HDIT

来到该公司官网，打开任意一个云平台的链接，很显眼地能看见APP的下载按钮，下载，安装，抓包，使用，完全的套路，熟门熟路是不是。

再看抓取的报文，满目的HTTP协议数据：

完全没有对APP产生的数据进行保护的意识，典型的上世纪末的互联网产品。

再深究，看它的注册数据：

POST /api/reg HTTP/1.1

Content-Length: 60

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Host: www.hditcloud.com

Connection: Keep-Alive

Cookie: JSESSIONID=XXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Cookie2: $Version=1

Accept-Encoding: gzip

method=registerPhone&password=888888&phone=18888888888&ver=1HTTP/1.1 200 OK

Server: nginx

Date: Thu, 11 Jun 2018 11:44:44 GMT

Content-Type: application/json;charset=UTF-8

Content-Length: 228

Connection: keep-alive

{"code":0,"data":{"account":"18888888888","displayFlag":1,"enabledFlag":1,"id":34113,"lastLoginTime":0,"name":"18888888888","password":"888888","phone":"18888888888","roleCode":"NORMAL","status":0,"type":5},"msg":"注册成功"}

赤裸裸的明文，账号，密码都没有进行稍稍遮掩，请求发回去，响应再发回来，莫名其妙的逻辑。

—

API

这个物联网平台，竟然提供API供第三方开发使用，看上去，像模像样，毕竟是院士加持过的公司。

但一看API接口的入口，让人十分扫兴呀。

你怎么可以这样，该公司另一个平台也有个APP，大概率就是使用这套API的，就不分析了。

—

期待

根据APP的情况分析，该公司的数百万车联网设备，应该也没有任何数据加密措施。想象一下，就已经很恐怖了，这些数据，一定包含大量的用户信息，定位信息，如果被有心人利用起来，后果不堪设想。

当然，协议还原喜欢这样的设备和APP。

长按进行关注。