研究人员说,百度网络浏览器泄露敏感信息
由中国搜索巨头百度开发的两家Web浏览器一直不确定在互联网上传输敏感数据,使用户介绍了一个新的研究。
百度通过释放软件修复来回应,但研究人员表示并非所有问题都得到了解决。
该研究由市民实验室周二发布,该研究小组是多伦多大学的一部分。
它专注于Windows和Android版本的百度浏览器,它是免费的产品。它还发现,使用百度SDK(软件开发套件)的数千个应用程序泄露了敏感数据。
通过浏览器,Citizen Lab发现用户的搜索术语,GPS坐标,访问的网站的地址和设备的MAC(媒体访问控制)地址未使用SSL / TLS加密发送到百度的服务器。
报告指出,“没有正确实施加密的个人数据的传输可以将用户的数据暴露在监视中。
其他敏感信息,例如IMEI(国际移动台设备标识)编号,附近Wi-Fi网络及其MAC地址以及硬盘驱动器序列号是可能被打破的弱加密传输。
Web浏览器都不使用数字代码签名进行更新,但否则攻击者可以尝试以自己的代码删除。
中国政府严格控制互联网使用,百度可以将用户数据交给情报机构和执法。数据收集提出了关于它是否可以针对反对政府政策的人使用的问题。
“虽然互联网公司经常收集个人用户数据进行正常和有效的服务,但目前还没有明确为什么百度浏览器收集并传输如此广泛的敏感用户数据点,”报告称。
Citizen Lab还发现,使用百度的移动分析SDK的数千个移动应用程序将与公司的相同敏感信息传输回公司。
“任何使用此SDK进行统计信息和事件跟踪的应用程序向百度服务器发送消息,”报告称。
百度官员无法立即达成评论,但公民实验室发布了一份文件,其中包含了公司提出的问题和答案。
百度没有回答有关在中国法律下保留的用户数据所需的问题。它还表示,它无法对为什么使用其浏览器访问中国以外的网站的请求的要求通过代理服务器。
但百度表示,它基于研究人员的安全性得到了改善的安全性“调查结果。例如,它表示由Android浏览器传输的数据将在本月底之前完全加密,并且在5月份之前为Windows浏览器提供。
