百度浏览器的隐私安全问题分析

　　中国的网络用户面对的是世界上最严格的互联网审查制度之一。在中国最有名的审查制度可能是”长城防火墙“，这是一种网页过滤的综合体系，阻止中国境内对禁止访问内容的访问。因为这种系统限制中国网络用户对境外网页内容的访问，很多用户都在寻求方法来规避这种审查。其中一种方法就是使用国际代理，它会掩盖和重定位网络流向来逃避检查。

　　除了中国审查制度规定对于信息的访问限制，长城防火墙还会在跨境传输时表现出明显的低效和慢速。代理服务器可以绕开这些网络瓶颈来提高性能。

　　我们对于百度浏览器Windows版的分析表明，该软件有一个功能，可以自动将请求代理到境外某些网站。百度在其网站中宣传了这种服务，并描述了潜在的性能改进。(见下图)

　　除了可以提高性能，我们还发现这种代理可以允许访问一些被禁止的网站，比如www.wordpress.com。

　　kv_auth 资源

　　该资源包含了不同代理服务器的信息。如果浏览器版本没有更新，那么在代理请求的响应中会包含新版本。资源中含有代理域的md5哈希值，每个哈希值含有用户名和密码salt，这会用于计算获得代理的用户名和密码，这会在之后进行解释。

　　目前的列表含有13个条目;然而，因为只有哈希值，所以我们还不能用这个列表要求代理的完整目录。

　　fg_pac 资源

　　该资源包含了测试代理网站的标准。同样的，如果浏览器不是最新版本，在代理信息请求的响应中也会包含新版本的下载文件，以及该文件的md5哈希值和加密密钥。目前提供的URL是http://dlsw.br.baidu.com/odin/201509/808996d05fb8fbb43ab4db44a5429058.e。

　　我们有上述文件的解密版本，以及用来解密的脚本源代码。值得注意的是，由于在URL的文件名是文件内容的md5哈希值，对该文件的任何更新版本都不会是同一个URL，所以不能用上面的URL来跟踪更新。

　　解密时，此文件是一个代理服务器自动配置或是PAC文件，里面是JAVA代码，用来确定哪些是代理网站的，或是具体使用那个代理，以及是否用HTTP或是HTTPS与该代理服务器进行通信。

　　kv_report 资源

　　该资源用于确定是否访问会向百度发送额外信息的代理网站。同样的，最新的版本会包含在响应中。此资源还包含域的列表，如果查看的网页和其中之一匹配，浏览器会另外发送一个加密的protobuf请求。我们在前面描述过网页的请求，这些请求包括：

　　1、网页的完整URL

　　2、网页的HTTP引用字段

　　3、网站的IP地址

　　4、用来指向网页的HTTP重定向列表

　　5、网页DNS查询时间、TCP连接时间、SSL连接时间以及完整的请求时间

　　6、是否使用了代理网站

　　分析

　　我们编写了一个python脚本，该脚本会进行有身份验证的代理并下载任意URL请求。首先，我们用它来测试百度是否会访问 fg_pac文件之外的网站。我们发现两个代理服务器都显示出页面错误，表明访问受控制。我们用一个中国VPS对Alexa前100万排行榜进行了测试，发现了46个没有出现在fg_pac文件的额外域可以通过这两个代理服务器访问。

　　第三部分：其他百度产品和第三方应用中的漏洞

　　为了确定百度浏览器中敏感信息的泄露是否会通过共享的代码机制等方式感染到其他的百度产品，我们进行了初步调查。百度为微软和安卓两种版本的浏览器都开发了全球版，关于该版本的具体分析在下面。我们发现安卓版本浏览器中泄露敏感信息的这个漏洞作为分析软件开发工具包(SDK)的一部分不仅存在于百度其他安卓产品中，还存在在大量的第三方应用中。

　　结论

　　许多情况下，移动设备会在不向用户提供任何通知的情况下生成、收集和传输种类繁多的个人标示符和用户数据。关于这一主题，我们题为《The Many Identifiers in Our Pockets》的论述重点介绍了与收集传输标示符有关的风险。

　　本篇报告中提到的问题引起了人们对于百度浏览器用户个人隐私安全的广泛关注。大量的标示符和数据点都是使用易破解的加密术进行传输的。

　　如果个人数据不使用正确的加密手段传输，很有可能导致用户数据遭到监视。其中可能包括用户的ISP、无线网络运行商等。更可怕的是，中间攻击者解密你进行加密的通信，这种拦截会暴露你的地理位置等信息。如果用户使用这种应用程序进行含有敏感信息的通信，那么这样的信息泄露将会是致命的。

　　人们对于百度收集存储用户数据的方式也产生了一定的质疑。向百度这样提供网络服务的大公司，需要遵循中国法律来保护数据的。网络公司通常是收集这些数据来进行更有效的日常服务的，那为什么百度浏览器会收集传输如此大量的敏感数据点?这还不得而知。

　　除了会泄露用户敏感信息之外，两种版本的浏览器都没有使用代码签名，这允许攻击者强制应用程序下载执行任意代码。

　　与百度的交涉

　　我们在2016年2月16日像百度发送了信件，告知百度我们确定的额外安全漏洞，并且说明我们会公开他们的回复。

　　百度在2月22日做出了相关回应。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!