主要观点：2025 年初 TikTok 被禁，基于中国的RedNote (Xiaohongshu)开始登上榜首，吸引大量用户，包括外国用户和中国用户。本文批评 RedNote 的一些设计选择，特别是其网络通信缺乏适当的加密实践，存在安全隐患。
关键信息：

• RedNote 在 TikTok 被禁后受欢迎，CNN 和 USA TODAY 等报道称其为事实上的 TikTok 替代品。
• RedNote 网络通信存在问题，如关注和发送消息等信息未加密，可被监听。
• 通过逆向工程发现 RedNote 的 AuthResp 消息结构及相关信息，包括秘密密钥等。
• 创建自定义 Wireshark dissector 进行测试，证明信息泄露问题，还可创建自定义数据包并发送消息。
• 已开源相关代码用于证明概念，建议 RedNote 团队解决安全问题，如迁移 API 到 TLS 连接等。
• 强调安全通过隐匿的问题，指出 Google Play 商店对 RedNote 安全声明的误导性。
  重要细节：
• 使用 Wireshark 捕获 RedNote 网络流量，发现向远程服务器的 5333 端口发送未加密数据包，包含手机类型等信息。
• 通过静态分析 APK 和使用 Ghidra 等工具，深入研究 RedNote 的内部结构，包括 protobuf 序列化和反序列化。
• 证明部分数据包被 protobuf 序列化，通过追踪函数和字符串搜索找到相关信息。
• 发现数据包头的编码方式及数据完整性验证机制，仍有部分字段未解码。
• 创建 Rust 项目演示攻击者可冒充其他用户发送消息，包括序列化自定义数据包和发送消息的过程。
• 作者已将证明概念的代码开源，并向 RedNote 团队发送邮件披露漏洞，但未得到回复。