2016年2月24日,国外媒体ZDNET报道了百度浏览器出现泄露个人资料的消息,标题为:百度浏览器传送IMEI,地点,访问的URL,CPU型号:Citizen Lab。(原文链接:http://www.zdnet.com/article/baidu-browser-transmitting-imei-location-urls-visited-cpu-model-number-citizen-lab/)
报道称,Citizen Lab发布了一个关于百度浏览器通过在Android和Windows两个版本公开或非加密的方式传送大量的个人资料的安全报告。该报告中提到,百度浏览器的Android版本发送用户的GPS坐标和最后更新时间,在进入到地址栏搜索字词和URL访问时,也没有任何形式的加密措施。报道指责百度浏览器还通过MAC地址和很弱的加密力度发送手机的唯一的IMEI号码和附近的无线网络。当对浏览器受到中间人的攻击进行寻找更新时,发现浏览器的Android版本也是非常脆弱的,然而,这个问题后来被修复。
报道称,Citizen Lab认为,百度浏览器的Windows版本也以明文形式发送用户在百度服务器的地址栏搜索的字词历史信息,而且还利用其易碎的加密方式发送个人信息,其中包括:硬盘序列号,型号和控制器的版本号;计算机的MAC地址;访问的URL,包括页面的标题; CPU型号;和文件系统卷序列号。
(图片:Citizen Lab)
Citizen Lab推迟了公布,以便百度自己来解决它发现的问题,但百度之后的一些做法证明它并没有取得什么实质性的进展,除了在Android版本启动时更改更新程序和通过SSL进行传输个人信息外,没有其他任何明确的表示。
据Citizen Lab报告显示,百度浏览器的两个版本,继续泄漏敏感数据和地址栏搜索。
51CTO记者第一时间找到了Citizen Lab在本月23日发布的原文:
研究发现百度浏览器存在安全与隐私问题- The Citizen Lab:
Citizen Lab文中提到主要发现百度浏览器的安全问题如下:
- 百度浏览器是一款以微软视窗系统与安卓系统为平台的网页浏览器。它将用户个人数据传输至百度服务器时,不经加密或者只是用非常容易被解密的加密方法。因此用户数据面对在软件升级过程中任意代码执行的中间人攻击时会显得非常脆弱。
- 安卓版本的百度浏览器以不加密的方式传输可辨认的个人信息,包括用户的GPS定位,历史搜索项目,和网址浏览记录。同时,用轻易可以被破解的加密方式传输用户的IMEI(国际移动电话识别码)和一连串用户附近无线网络的信息。
- 视窗版本的百度浏览器同样用不加密或可轻易破解的简单加密方式传送一些列可辨认的个人信息,包括用户的历史搜索项目,硬盘模型序列号和网络MAC地址(媒体存取控制地址),所有历史浏览页面的网址链接和标题,以及中央处理机的型号。
- 不管是视窗版本还是安卓版本的百度浏览器,都没有使用代码签名来保护软件升级。这意味着在路径内的恶意中间人可能引起应用的下载以及执行任意的程序,从而带来高安全风险。
- 视窗版本的百度浏览器拥有的一个功能是用代理请求特定网页,也就意味着允许其进入一些通常在中国被封锁的网站。
- 百度浏览器国际版本的分析显示数据泄露是由百度软件研发工具箱的分享导致的,这会影响到几百个谷歌商店中由百度或第三方研发的应用,以及一个非常受欢迎的中国应用商店中的上千个其他应用。
随后,51CTO记者采访了百度,百度官方认为报道存在不实信息和误解,百度在收到Citizen Lab实验室的通报后已于2015年12月完成修复,最新的版本已不存在该漏洞问题。
百度方的回应如下:
百度方面回应称,报道存在不实信息和误解,百度在收到Citizen Lab实验室的通报后已于2015年12月完成修复,最新的版本已不存在该漏洞问题。
据百度介绍,“百度Android软件开发套件”是一款向应用开发者提供的移动应用统计分析工具,旨在为开发者提供实时的统计服务,帮助开发者实现数据化、精细化运营,降低开发成本,这也是国内外统计工具的通行做法。该工具不会采集外媒提及的搜索关键词、网站访问记录,当然也就不存在与第三方分享这些数据的情况。
百度方面同时表示,百度建立了从产品开发到人员管理的一整套行之有效的安全管理体系,以保证百度的产品和网站安全,加强用户隐私权保护。“我们欢迎各方面的监督,也欢迎大家给百度提出更多意见和建议,帮我们一起提升用户体验。而对于恶意造谣和诋毁行为,我们也将采取法律手段维护自身的合法权益。”
以上是百度官方全文回应。
据记者了解,目前百度浏览器在PC端和移动端的装机量,都是非常惊人的。在去年,QuestMobile发布了《2015年中国移动互联网研究报告》,报告中显示,百度浏览器在安卓平台和IOS平台的装机量虽然排名不高,但非常惊人,如果出现安全问题和隐患,将直接影响国内大约近6千万人。如下图:
(图片来源:QuestMobile)
51CTO记者也在此呼吁各大应用工具厂商,安全无小事,重视安全才能获得更多人的认可。