Baidu, o navegador e serviços de web empresa que é bastante como o Google chinês, acaba de ser envolvido em um escândalo de privacidade. De acordo com pesquisadores de segurança, o navegador Baidu para Windows e Android funciona como um Infostealer, coleta de informações de seus usuários e enviá-lo para os servidores do Baidu.
Uma pesquisa realizada pela Citizen Lab indica que Baidu invade a privacidade dos seus utilizadores através da recolha de dados. Contudo, não há uma única empresa de serviços baseados na Web que não faz o obrigatório coleção de dados. assim, onde representa a captura?
O problema aqui é que o Baidu é que a coleta de dados de uma forma muito inseguro - por meio de conexões que são ou não criptografada ou fácil para descriptografar.
Saiba mais sobre a criptografia de segurança: APO Encryption Software
Que tipo de informação que a versão Baidu Android coleta? Aqui está a lista:
- Os detalhes sobre o sistema operacional;
- Navegando e histórico de pesquisa;
- IMEI do dispositivo (International Mobile Equipment Identity);
- última localização GPS do dispositivo;
- redes Wi-Fi próximas e endereços MAC locais;
E sobre a versão Windows do navegador? Aqui vamos nós:
- Pesquisa e histórico de navegação;
- modelo de CPU;
- Endereço MAC;
- modelo de unidade de disco rígido, número de série;
- número do volume do sistema de arquivos.
O navegador iria recolher e enviar todas essas informações na inicialização, sempre que o usuário é o conteúdo de digitação na barra de endereços e em uma exibição de página.
Mais Falhas no Outros Baidu produtos
além do que, além do mais, Citizen Lab, em cooperação com outra empresa de segurança, Tenha cuidado, revelou uma série de vulnerabilidades em outros produtos Baidu. O maior problema apontado para um SDK (garoto de desenvolvimento de software) encontrado em 22,548 pacotes de aplicativos. Em novembro 2015, Trend Micro especialistas relataram uma semelhante Baidu SDK, localizado em 14,112 aplicações Android. Esses SDKs pode ser facilmente usado para instalar backdoors nos dispositivos dos utilizadores.
Mais sobre o assunto: Taomike SDK Biblioteca Spies em SMS na 18,000 Aplicativos Android
Outra questão preocupante deve ser adicionado à lista de vulnerabilidades do Baidu. O navegador iria verificar se há atualizações e baixá-los sem aplicar assinaturas de código. A falta de assinaturas de código poderia causar MITM (homem no meio) tipo de ataques. No cenário de tal, um atacante pode enviar arquivos maliciosos para usuários, disfarçou como atualizações Baidu.
Será que Baidu corrigir os problemas?
Os pesquisadores de segurança contactado Baidu, deixá-los saber de seus resultados. Aqui está uma pequena parte da resposta da empresa chinesa:
Estamos gratos de Citizen Lab por ser consciente de segurança de dados na transmissão e já fez progressos substanciais no sentido de assegurar que qualquer transmissão será seguro. Nosso calendário para fazer mudanças restantes para transmissão criptografada são detalhados […].