Baidu, de browser en web services bedrijf dat is heel graag de Chinese Google, is onlangs betrokken bij een schandaal privacy. Volgens security onderzoekers, de Baidu browser voor zowel Windows en Android werkt als een infostealer, verzamelen van informatie van haar gebruikers en op te sturen naar Baidu's servers.
Een onderzoek door Citizen Lab geeft aan dat Baidu binnenvalt de privacy van zijn gebruikers door het verzamelen van gegevens. Echter, er is geen enkele web-based services bedrijf dat niet de verplichte doet het verzamelen van gegevens. Dus, waar is de vangst?
De vangst is hier dat Baidu doet het verzamelen van gegevens in een zeer onveilige manier - via verbindingen die ofwel ongecodeerd of gemakkelijk te ontcijferen zijn.
Meer informatie over encryptie Beveiliging: APO Encryption Software
Welke informatie heeft de Android Baidu versie verzamelen? Hier is de lijst:
- Details over het besturingssysteem;
- Browsen en zoekgeschiedenis;
- IMEI van het apparaat (International Mobile Equipment Identity);
- Het apparaat laatste GPS-locatie;
- In de omgeving WiFi-netwerken en lokale MAC-adressen;
Hoe zit het met de Windows-versie van de browser? Daar gaan we:
- Zoek en browsegeschiedenis;
- CPU model;
- Mac adres;
- Harde schijf model, serienummer;
- File system volume nummer.
De browser zou verzamelen en al die informatie te sturen bij het opstarten, wanneer de gebruiker typt inhoud in de adresbalk en op een pagina te bekijken.
Meer Gebreken in andere Baidu producten
Bovendien, Citizen Lab, in samenwerking met een andere beveiligingsleverancier, Pas op, onthulde een reeks kwetsbaarheden in andere Baidu producten. Het grootste probleem wees op een SDK (software-ontwikkeling kind) gevonden in 22,548 app pakketten. In november 2015, Trend Micro deskundigen, meldde een soortgelijke Baidu SDK, gevestigd in 14,112 Android-applicaties. Dergelijke SDK's kunnen gemakkelijk worden gebruikt om backdoors voor apparaten van gebruikers te installeren.
Meer over dit onderwerp: Taomike SDK Bibliotheek Spies op SMS 18,000 Android-apps
Een andere verontrustende kwestie moet worden toegevoegd aan de lijst van kwetsbaarheden Baidu's. De browser zou controleren op updates en download ze zonder toepassing codehandtekeningen. Een gebrek aan codehandtekeningen kon MitM veroorzaken (man-in-the-middle) type aanvallen. In een dergelijk scenario, Een aanvaller kan sturen schadelijke bestanden aan gebruikers, vermomd als Baidu updates.
Heeft Baidu worden de problemen opgelost?
De security onderzoekers gecontacteerd Baidu, laten weten van hun bevindingen. Hier is een klein deel van het antwoord van de Chinese onderneming:
We zijn dankbaar van Citizen Lab voor zijn rekening te houden met de beveiliging van gegevens in de transmissie en we hebben al aanzienlijke vooruitgang geboekt in de richting van ervoor te zorgen dat een dergelijke transmissie veilig zal zijn. Onze tijdschema voor het maken van achtergebleven veranderingen in gecodeerde transmissie zijn gedetailleerd […].
Neem een kijkje op de hele Baidu reactie.
Voel je vrij om te vertrekken een commentaar op Baidu gebreken in onze veiligheid forums!
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: