Translated by: Kun Cleo Zhang and Jason Q. Ng
多伦多大学公民实验室的最新报告揭露了百度浏览器存在的多处隐私与安全问题。百度浏览器是基于中国的一款移动浏览器,拥有数百万的用户,而报告反映的隐私与安全问题很可能会至用户的沟通于风险中。
主要发现
- 百度浏览器是一款以微软视窗系统与安卓系统为平台的网页浏览器。它将用户个人数据传输至百度服务器时,不经加密或者只是用非常容易被解密的加密方法。因此用户数据面对在软件升级过程中任意代码执行的中间人攻击时会显得非常脆弱。
- 安卓版本的百度浏览器以不加密的方式传输可辨认的个人信息,包括用户的GPS定位,历史搜索项目,和网址浏览记录。同时,用轻易可以被破解的加密方式传输用户的IMEI(国际移动电话识别码)和一连串用户附近无线网络的信息。
- 视窗版本的百度浏览器同样用不加密或可轻易破解的简单加密方式传送一些列可辨认的个人信息,包括用户的历史搜索项目,硬盘模型序列号和网络MAC地址(媒体存取控制地址),所有历史浏览页面的网址链接和标题,以及中央处理机的型号。
- 不管是视窗版本还是安卓版本的百度浏览器,都没有使用代码签名来保护软件升级。这意味着在路径内的恶意中间人可能引起应用的下载以及执行任意的程序,从而带来高安全风险。
- 视窗版本的百度浏览器拥有的一个功能是用代理请求特定网页,也就意味着允许其进入一些通常在中国被封锁的网站。
- 百度浏览器国际版本的分析显示数据泄露是由百度软件研发工具箱的分享导致的,这会影响到几百个谷歌商店中由百度或第三发研发的应用,以及一个非常受欢迎的中国应用商店中的上千个其他应用。
Note on Translation: This is an informal translation of the original report in English. This informal translation may contain inaccuracies. It is intended only to provide a basic understanding of our research. In the event of a discrepancy or ambiguity, the English version of this report prevails.