百度浏览器的隐私安全问题分析

　　主要发现

　　百度浏览器是微软和安卓平台上的一种网络浏览器，个人用户在向服务器传输数据时进行加密，就算加密了也很容易被解密。浏览器更新时可能很轻易地被中间攻击者利用，执行任意代码。

　　安卓版本的百度浏览器传输的个人可识别数据，包括用户的GPS坐标、搜索内容和访问时的URL，这些内容都是没有进行加密的。不仅如此，在传输用户的IMEI和附近无线网络列表时也只是使用了简单、易于破解的加密。

　　Windows版的百度浏览器在传输个人可识别数据点的时候也没有进行加密，或者是进行了简单的加密。这些数据包括了用户的搜索词、硬盘序列号模型、MAC网络地址、URL和访问历史，还有CPU型号。

　　无论是Windows版还是安卓版的百度，都没有使用代码签名来保护软件更新，提高其安全性，也就是说，更新路径上随便一个恶意攻击者都可以让该应用程序下载执行任意代码，这是一个重大的安全风险。

　　微软版本的百度浏览器有一个功能：可以将一个请求转向特定的网站，这就允许用户可以访问一些在中国被墙的网站。

　　对百度的全球版本进行分析之后发现，数据泄露是因为百度共享了它的软件开发工具包(SDK)，这影响了数百个由百度和谷歌应用商店的第三方共同开发的应用程序，以及中国某个广泛使用的应用商店里的数千个应用。

　　介绍

　　百度浏览器是由中国最大的科技公司百度公司开发的，向Windows和安卓平台免费提供。它提供的功能不仅仅是一般浏览器的功能，包括了视频音频下载工具和内置的种子下载。

　　本篇报告针对百度浏览器在操作过程中是如何管理和传输用户数据做出了详细的分析。报告指出，Windows和安卓版本的百度浏览器都有着一定的安全隐患，都有可能泄露个人用户数据，包括用户地理位置、硬件标示符、附近的无线网络、网页浏览数据和搜索词。这些数据的传输在两种版本的浏览器中都没有进行加密或是进行了简单的加密，这也就是说，任何攻击者都可以通过手机路径并进行一定的解密手段来获得此类数据。此外，两种版本的应用都没有使用数字签名来保护其软件更新，这就意味着恶意攻击者可以让浏览器下载并执行任意代码。

　　这份报告是我们之前工作的延续，在此之前我们已经审查了在亚洲流行的移动应用程序的安全和隐私状况。我们之前的研究报告就发现UC浏览器有着类似的问题，这个浏览器是由中国电子商务巨头阿里巴巴公司开发的。那份报告记录了UC浏览器对于用户的敏感信息没有进行加密传输，这些信息包括了IMSI、IMEI、安卓ID、无线网络MAC地址、地理定位数据和用户的搜索查询。UC浏览器的安全问题是在 Edward Snowden 泄露出来的文件中确定的，该组织是五眼情报联盟，包括了加拿大、美国、英国、澳大利亚和新西兰的情报机构，他们就是利用这些漏洞来识别用户的。

　　在过去的工作中，我们已经分析了热门的第三方软件的自动更新机制。我们发现攻击者利用百度浏览器自动更新机制来进行远程代码执行的漏洞和那些第三方软件的漏洞很是相似。

　　此外，我们也对TOM-Skype和新浪UC信息平台的关键字审查进行了调查，不仅如此，我们还对亚洲流行的手机聊天应用程序进行了比较分析，比如微信、LINE和Kakao Talk。

　　我们还发布了一份关于移动通信隐私安全问题的概述，标题叫做《 The Many Identifiers in Our Pockets》。对于本篇报告中的一些技术问题来说，那份概述中关于移动技术标示符的说明是个很好的背景介绍。另外，我们还在 OpenEffect上发表了一篇关于健身追踪器上隐私和安全问题的分析。

　　负责任的披露和通知

　　我们在2015年10月26日向百度通知了我们的发现和我们发表这份报告的意图。我们表示不会按照国际对于披露漏洞的惯例在刊登前45天通知。百度最初表示会在2016年1月24日发布的更新中解决我们所确定的问题。然而百度发现这些安全问题已经影响了其他的产品，所以他们要求我们推迟到2016年2月14日之后再发表。为了给百度足够的时间来修复所有漏洞，我们同意了。

　　在这之后，百度表示他们会在2月14日发布Windows和安卓客户端的更新版本。为了确定他们真的解决了问题，我们对两种更新版本进行了分析。分析结果在报告结尾部分的“更新：对百度最新版本的分析”。

　　我们在2月16日向百度的国际通信主任发送了一封关于百度浏览器安全隐私问题的电子邮件，22日我们收到了回复。

　　在本报告的结尾附录有我们和百度关于这些安全问题交涉的所有信件。

　　百度浏览器：简单背景介绍

　　百度浏览器是由中国互联网巨头百度公司专为Windows和安卓系统研发的浏览器。首次发布是在2011年，主要基于谷歌Chromium，它拥有大量功能，包括集成的视频音频下载工具、内置种子下载和鼠标手势支持。该浏览器是百度提供的许多服务之一，其他还有搜索引擎、大规模的广告平台和百度百科(类似于维基百科)。根据“中国互联网观察”的调查，到2015年，百度浏览器的网民渗透率达到了29.2%。

　　作为中国占主导地位的高科技公司之一，加上没有来自被屏蔽的谷歌搜索引擎的竞争压力，百度已经成为了中国最常用的搜索引擎。在世界范围网页访问量排名的Alexa名单上，百度排名第四，在中国排名第一。公司2014年的收入是79.6亿美金。

　　2014年7月，百度和互联网流量管理公司CloudFlare建立了合作，该公司总部设在美国。二者达成合作，利用百度公司的数据中心和CloudFlare的流量管理服务来提供中国网站的访问速度。这项服务被称为百度云加速，主要针对希望加快在中国效率低下、审查严苛的网络中运行速度的企业。本报告的第二部分将介绍了百度浏览器的另一个功能，即对境外特定网站的流量进行代理来提高性能。

　　技术分析

　　我们使用逆向工程技术分析了两种版本的百度浏览器。为了分析程序行为，我们使用了机器码、字节码反汇编程序、反编译器和调试器，包括了JD、JADX和IDA。我们还使用了 tcpdump和Wireshark来捕获分析网络流量。

　　分析分为三部分。第一部分介绍了两种版本的中文版百度浏览器是如何向百度服务器发送未加密或是易破解个人信息的。第二部分描述了百度浏览器Windows中文版的一种特别功能，即对境外特定网站的流量进行代理来提高性能。第三部分讨论了中文版和全球版共有的漏洞，以及有多少漏洞是因为百度软件开发工具包的使用，在其他百度或是第三方应用中都可以找到该工具包。

　　“易破解”的加密

　　报告中，在谈到百度浏览器使用的加密的时候我们会用到“易破解”这个短语。在这里，我们来讨论一下我们所说的这句话，以及如何正确执行百度浏览器的加密术。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!