Baidu, le navigateur et les services Web entreprise qui est tout à fait comme le Google chinois, vient d'être impliqué dans un scandale de la vie privée. Selon les chercheurs en sécurité, le navigateur Baidu pour Windows et Android agit comme un infostealer, la collecte d'informations de ses utilisateurs et de l'envoyer aux serveurs de Baidu.
Une recherche par Lab Citizen indique que Baidu envahit la vie privée de ses utilisateurs en collectant des données. Cependant, il n'y a pas une société de services Web unique qui ne fait pas l'obligation collecte de données. Si, où est le piège?
Le hic est que Baidu fait la collecte des données de manière très non sécurisée - via des connexions qui sont cryptées ou non faciles à décrypter.
En savoir plus sur le cryptage de sécurité: APO Logiciel de cryptage
Quel genre d'information que la version Android Baidu recueillir? Voici la liste:
- Détails sur le système d'exploitation;
- Navigation et historique de recherche;
- IMEI de l'appareil (Station internationale d'équipement mobile Identité);
- dernière position GPS de l'appareil;
- À proximité des réseaux Wi-Fi et les adresses MAC locales;
Qu'en est-il de la version Windows du navigateur? Et c'est parti:
- Recherche et l'historique de navigation;
- modèle CPU;
- Adresse Mac;
- modèle de disque dur, numéro de série;
- Numéro de volume du système de fichiers.
Le navigateur recueillir et envoyer toutes ces informations au démarrage, chaque fois que l'utilisateur est en train de taper le contenu dans la barre d'adresse et sur une page vue.
Plus Failles dans Autres Baidu Produits
En outre, Lab Citizen, en collaboration avec un autre fournisseur de sécurité, Attention, a révélé une série de vulnérabilités dans d'autres produits Baidu. Le plus gros problème pointé vers un SDK (kid développement logiciel) trouvé dans 22,548 Les paquets d'application. En novembre 2015, experts de Trend Micro ont signalé un semblable Baidu SDK, situé dans 14,112 applications Android. Ces kits de développement peuvent être facilement utilisés pour installer des portes dérobées sur les appareils des utilisateurs.
Plus d'informations sur le sujet: Taomike SDK Bibliothèque Spies sur SMS dans 18,000 Applications Android
Une autre question troublante devrait être ajouté à la liste des vulnérabilités de Baidu. Le navigateur vérifier les mises à jour et les télécharger sans appliquer les signatures de code. Un manque de signatures de code pourrait provoquer MitM (-middle man-in-la) type d'attaques. Dans un tel scénario, un attaquant peut envoyer des fichiers malveillants aux utilisateurs, Baidu mises à jour comme masqueradé.
Est-ce que Baidu résoudre les problèmes?
Les chercheurs en sécurité ont contacté Baidu, laissant leur faire connaître leurs conclusions. Voici une petite partie de la réponse de la société chinoise:
Nous sommes reconnaissants du Citizen Lab pour être conscient de la sécurité des données dans la transmission et nous avons déjà fait des progrès substantiels en vue de faire en sorte que toute transmission sera sécurisée. Notre calendrier pour faire des changements qui restent à la transmission cryptée sont détaillées […].