BaiduブラウザはAndroidとWindowsのInfostealerのように機能します

Baidu, 中国のグーグルに非常に似ているブラウザとウェブサービス会社, プライバシースキャンダルに巻き込まれたばかり. セキュリティ研究者によると, WindowsとAndroidの両方のBaiduブラウザはinfostealerのように機能します, ユーザーから情報を収集し、Baiduのサーバーに送信する.

による研究 シチズンラボ Baiduがデータを収集することでユーザーのプライバシーを侵害していることを示します. でも, 義務を果たさないウェブベースのサービス会社は1社もありません。 データ収集. そう, キャッチはどこですか?

ここでの落とし穴は、Baiduが非常に安全でない方法でデータ収集を行うことです–暗号化されていないか復号化が容易な接続を介して.

暗号化セキュリティの詳細: APO暗号化ソフトウェア

AndroidBaiduバージョンはどのような情報を収集しますか? これがリストです:

• オペレーティングシステムに関する詳細;
• 閲覧と検索の履歴;
• デバイスのIMEI (International Mobile Station Equipment Identity);
• デバイスの最後のGPS位置;
• 近くのWiFiネットワークとローカルMACアドレス;

Windows版のブラウザはどうですか? どうぞ:

• 検索と閲覧の履歴;
• CPUモデル;
• Macアドレス;
• ハードディスクドライブモデル, シリアルナンバー;
• ファイルシステムのボリューム番号.

ブラウザは起動時にすべての情報を収集して送信します, ユーザーがアドレスバーとページビューにコンテンツを入力しているときはいつでも.

他のBaidu製品のより多くの欠陥

加えて, シチズンラボ, 別のセキュリティベンダーと協力して, 外を見る, 他のBaidu製品のさまざまな脆弱性を明らかにしました. SDKで指摘された最大の問題 (ソフトウェア開発の子供) で見つかりました 22,548 アプリパッケージ. 十一月に 2015, トレンドマイクロの専門家は、同様のBaiduSDKを報告しました, にあります 14,112 Androidアプリケーション. このようなSDKは、ユーザーのデバイスにバックドアをインストールするために簡単に使用できます.

主題の詳細: TaomikeSDKライブラリがSMSでスパイ 18,000 Androidアプリ

Baiduの脆弱性のリストに別の厄介な問題を追加する必要があります. ブラウザは更新をチェックし、コード署名を適用せずにそれらをダウンロードします. コード署名の欠如はMitMを引き起こす可能性があります (真ん中の男) 攻撃の種類. そのようなシナリオでは, 攻撃者は悪意のあるファイルをユーザーに送信する可能性があります, Baiduの更新を装った.

Baiduは問題を修正しましたか?

セキュリティ研究者はBaiduに連絡しました, 彼らに彼らの発見を知らせる. これが中国企業の回答のごく一部です:

シチズンラボは、送信時のデータセキュリティに注意を払ってくれたことに感謝しており、そのような送信が安全であることを保証するために、すでにかなりの進歩を遂げています。. 暗号化された送信に残りの変更を加えるためのスケジュールが詳しく説明されています […].

全体を見てください Baiduの応答.

お気軽にお立ち寄りください Baiduの欠陥に関するコメント 私たちのセキュリティフォーラムで!