数千款使用百度代码开发的应用收集并泄露用户信息,已下载上亿次

路透社报道,位于加拿大的 Citizen Lab 研究人员发布研究报告,发现数千款使用百度代码开发的应用收集用户个人信息,并将这些信息回传给该公司,其中很多信息可以被轻松截取。这些未经加密的信息包括用户的地理位置、搜索关键词和网站访问记录。目前这些应用的总下载量已经达到了上亿次,研究人员表示,现在还无法断定有多少人受到影响。

位于加拿大的 Citizen Lab 研究人员表示这个问题是在是他们在一个由百度开发的 Android 开发套件中发现了这一问题的。受此影响的包括百度移动端的浏览器和其它应用,以及其它使用这一开发套件开发的应用,即使是百度的 WP 版浏览器也未能幸免。百度浏览器是基于于Blink(Chrome)/Trident(IE)渲染引擎的浏览器,有移动版和桌面版,研究人员分析的是移动版本。 他们发现浏览器将用户个人数据传输至百度服务器时,不经加密或者只是用非常容易被解密的加密方法。

安卓版本的百度浏览器以不加密的方式传输可辨认的个人信息,包括用户的 GPS 定位,历史搜索和网址浏览记录。它同时用可以轻易破解的加密方式传输用户的 IMEI 和一连串用户附近无线网络的信息。WP 版本的百度浏览器同样用不加密或可轻易破解的简单加密方式传送一些列可辨认的个人信息,包括用户的历史搜索项目,硬盘模型序列号和MAC地址,所有历史浏览页面的网址链接和标题,以及 CPU 型号。研究人员发现,百度加密某些字段时使用了一个硬编码的密钥h9YLQoINGWyOBYYk,因此很容易破解。

baiduheader

研究人员表示,目前还无法判断有多少人受到百度这一问题的影响。一些位于中国的软件开发者表示,缺乏加密算法是非常普遍的情况,一定程度上源自市场的快速增长和安全意识的薄弱。倘若加密算法不够强,或者根本没有加密算法,个人数据也的确存在泄露的风险。

实际上Citizen Lab 的研究人员去年的时候也向阿里巴巴旗下的 UC 浏览器提过类似的问题,随后阿里巴巴便修复了问题。Citizen Lab表示,自从去年11月提请百度注意后,该公司已经修复了其中的一些漏洞,但是百度安卓版浏览器仍然会发送诸如设备ID等敏感信息,而且加密形式极为简陋。

百度回应路透社表示,该公司将会在其软件开发套件中修复加密漏洞,但是还是会继续收集用户数据,用于正当的商业用途,部分数据或与第三方分享。并拒绝透露这些数据谁将能够访问。

半个小时前,@百度安全应急响应中心也发表了微博给出了相应的解释:

baidu

 

订阅更多文章