Baidu, browseren og webtjenester selskab, der er helt ligesom den kinesiske Google, er netop blevet involveret i et privatliv skandale. Ifølge sikkerhedseksperter, Baidu browser til både Windows og Android fungerer som en infostealer, indsamle oplysninger fra sine brugere og sende den til Baidu servere.
Et forskningsprojekt ved Citizen Lab angiver, at Baidu invaderer sine brugernes privatliv ved at indsamle data. Men, der er ikke en enkelt web-baserede tjenester selskab, der ikke gør det obligatorisk dataindsamling. Så, hvor er fangsten?
Fangsten her er, at Baidu gør dataindsamlingen i en meget usikker måde - via forbindelser, der enten er ukrypteret eller let at dekryptere.
Lær mere om kryptering Sikkerhed: APO Kryptering Software
Hvilken slags oplysninger har Android Baidu versionen indsamle? Her er listen:
- Detaljer om operativsystemet;
- Browsing og søgehistorik;
- Enhedens IMEI (International Mobile Station Equipment Identity);
- Enhedens sidste GPS-placering;
- Nærliggende WiFi-netværk og lokale MAC-adresser;
Hvad med Windows-versionen af browseren? Nu sker det:
- Søg og browserdata;
- CPU model;
- Mac-adresse;
- Harddisk model, serienummer;
- Filsystem volumen nummer.
Browseren ville indsamle og sende alle disse oplysninger ved start, når brugeren er at skrive indhold i adresselinjen og på en sidevisning.
Flere Mangler i andre Baidu produkter
Desuden, Citizen Lab, i samarbejde med en anden sikkerhed leverandør, Pas på, afslørede en række svagheder i andre Baidu produkter. Det største problem pegede på en SDK (knægt softwareudvikling) fundet i 22,548 app pakker. i november 2015, Trend Micro eksperter rapporteret et lignende Baidu SDK, placeret i 14,112 Android-applikationer. Sådanne SDK'er let kan anvendes til at installere bagdøre på brugernes enheder.
Mere om den Subject: Taomike SDK Bibliotek Spies på sms i 18,000 Android-apps
Et andet bekymrende problem bør føjes til listen over Baidu sårbarheder. Browseren vil søge efter opdateringer og downloade dem uden at anvende kode signaturer. En mangel på kode signaturer kan forårsage MITM (man-in-the-middle) type angreb. I et sådant scenario, en hacker kan sende ondsindede filer til brugerne, masqueraded som Baidu opdateringer.
Vidste Baidu løse problemerne?
De sikkerhedseksperter kontaktede Baidu, lade dem vide af deres resultater. Her er en lille del af det kinesiske selskab svar:
Vi er taknemmelige for Citizen Lab for at være opmærksomme på datasikkerheden i transmission og vi har allerede gjort betydelige fremskridt i retning af at sikre, at en sådan overførsel vil være sikker. Vores tidsplan for at gøre de resterende ændringer i krypteret transmission er detaljeret […].
Tag et kig på hele Baidu svar.
Du er velkommen til at forlade en kommentar til Baidu fejl i vores sikkerheds fora!
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: