Baidu, la compañía del navegador y los servicios web que es bastante como el Google chino, acaba de ser involucrado en un escándalo de privacidad. De acuerdo con los investigadores de seguridad, el navegador de Baidu para Windows y Android actúa como un Infostealer, la recogida de información de sus usuarios y de enviarlo a los servidores de Baidu.
Una investigación realizada por Citizen Lab Baidu indica que invade la privacidad de sus usuarios mediante la recopilación de datos. Sin embargo, no hay una sola compañía de servicios basados en la Web que no hace obligatoria la recopilación de datos. Así, donde está la trampa?
El truco aquí es que Baidu hace la recolección de datos de una manera muy insegura - a través de las conexiones que son o sin cifrar o descifrar fácil.
Más información sobre la seguridad del cifrado: El software del cifrado APO
¿Qué tipo de información recopila la versión de Android Baidu? Aquí está la lista:
- Los detalles sobre el sistema operativo;
- La navegación y el historial de búsqueda;
- IMEI del dispositivo (IMEI);
- última ubicación GPS del dispositivo;
- redes WiFi cercanas y las direcciones MAC locales;
¿Qué pasa con la versión de Windows del navegador? Aquí vamos:
- Búsqueda y el historial de navegación;
- modelo de CPU;
- Dirección MAC;
- modelo de unidad de disco duro, número de serie;
- Número de archivo volumen del sistema.
El navegador podría recoger y enviar toda esa información en el inicio, cada vez que el usuario está escribiendo el contenido de la barra de direcciones y en una vista de página.
Más defectos en otros productos de Baidu
Adicionalmente, Citizen Lab, en cooperación con otro proveedor de seguridad, Estar atento, puesto de manifiesto una serie de vulnerabilidades en otros productos de Baidu. El mayor problema que apunta a un SDK (chico de desarrollo de software) encontrado en 22,548 paquetes de aplicaciones. En noviembre 2015, expertos de Trend Micro informaron de un SDK Baidu similares, situado en 14,112 aplicaciones Android. Tales SDK se pueden utilizar fácilmente para instalar puertas traseras en los dispositivos de los usuarios.
Más sobre el tema: Spies Taomike SDK biblioteca en SMS en 18,000 Aplicaciones Android
Otro tema preocupante, debe añadirse a la lista de vulnerabilidades de Baidu. El navegador sería comprobar si hay actualizaciones y descargarlas sin aplicar firmas de código. A falta de firmas de código podría causar MitM (man-in-the-middle) tipo de ataques. En tal escenario, un atacante puede enviar archivos maliciosos a los usuarios, se hacían pasar como actualizaciones de Baidu.
Baidu tenía solucionar los problemas?
Los investigadores de seguridad en contacto con Baidu, haciéndoles saber de sus hallazgos. He aquí una pequeña parte de la respuesta de la compañía china:
Estamos agradecidos de Citizen Lab para ser consciente de la seguridad de datos en la transmisión y ya hemos hecho un progreso sustancial hacia asegurar que cualquier tipo de transmisión será seguro. Nuestro calendario para efectuar las restantes cambios en la transmisión encriptada se detallan […].
Echar un vistazo a la totalidad Baidu respuesta.
Siéntase libre de dejar un comentario sobre defectos de Baidu en nuestros foros de seguridad!
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: