邮箱大师可导致用户邮箱通讯录泄露

邮箱大师存在设计缺陷可导致用户邮箱通讯录泄露

1.这是个很奇怪的问题，我使用邮箱大师登录我的网易邮箱(同时测试了hotmail)，因为默认使用HTTPS(也许是网易自己写的协议)传输，所以整个过程通过抓包工具是无法抓到的。

2.但当我使用邮箱大师登录我的QQ邮箱(同类的如@vip.qq.com,@foxmail.com)，使用抓包工具却可以抓到我的邮箱通讯录(来自https://dav.qq.com域),使用的是PROPFIND和REPORT请求(相关协议源码位于
com.netease.mobimail.net.protocol.a.f)，返回XML格式的邮箱通讯录信息

反编绎分析了下源码，发现多处重写了onReceivedSslError方法和checkServerTrusted方法，会忽略证书错误继续加载和信任所有证书，但具体是哪处影响了https://dav.qq.com还待分析

?1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16package com.netease.mobimail.net.protocol.activesync;

import java.security.cert.X509Certificate;

import javax.net.ssl.X509TrustManager;

final class b implements X509TrustManager {

b {

super;

}

public void checkClientTrusted(X509Certificate[] arg1, String arg2) {

}

public void checkServerTrusted(X509Certificate[] arg1, String arg2) {

//此方法为空，没检测服务器证书有效性

}

public X509Certificate getAcceptedIssuers {

return new X509Certificate[0];

解决方案：

过滤