百度浏览器的隐私安全问题剖析

访客5年前黑客文章1024

首要发现
百度阅读器是微柔和安卓渠道上的一种 *** 阅读器,个人用户在向服务器传输数据时进行加密,就算加密了也很简略被解密。阅读器更新时或许很轻易地被中心攻击者运用,履行恣意代码。
安卓版别的百度阅读器传输的个人可辨认数据,包含用户的GPS坐标、搜索内容和拜访时的URL,这些内容都是没有进行加密的。不仅如此,在传输用户的IMEI和邻近无线 *** 列表时也仅仅运用了简略、易于破解的加密。
Windows版的百度阅读器在传输个人可辨认数据点的时分也没有进行加密,或者是进行了简略的加密。这些数据包含了用户的搜索词、硬盘序列号模型、MAC *** 地址、URL和拜访前史,还有CPU类型。
无论是Windows版仍是安卓版的百度,都没有运用代码签名来维护软件更新,进步其安全性,也便是说,更新途径上随意一个歹意攻击者都能够让该运用程序下载履行恣意代码,这是一个严重的安全危险。
微软版别的百度阅读器有一个功用:能够将一个恳求转向特定的网站,这就答运用户能够拜访一些在我国被墙的网站。
对百度的全球版别进行剖析之后发现,数据走漏是因为百度同享了它的软件开发工具包(SDK),这影响了数百个由百度和谷歌运用商铺的第三方共同开发的运用程序,以及我国某个广泛运用的运用商铺里的数千个运用。
介绍
百度阅读器是由我国更大的科技公司百度公司开发的,向Windows和安卓渠道免费供给。它供给的功用不仅仅是一般阅读器的功用,包含了视频音频下载工具和内置的种子下载。
本篇陈述针对百度阅读器在操作过程中是怎么办理和传输用户数据做出了具体的剖析。陈述指出,Windows和安卓版别的百度阅读器都有着必定的安全隐患,都有或许走漏个人用户数据,包含用户地舆位置、硬件标明符、邻近的无线 *** 、网页阅读数据和搜索词。这些数据的传输在两种版别的阅读器中都没有进行加密或是进行了简略的加密,这也便是说,任何攻击者都能够经过手机途径并进行必定的解密手法来取得此类数据。此外,两种版别的运用都没有运用数字签名来维护其软件更新,这就意味着歹意攻击者能够让阅读器下载并履行恣意代码。
这份陈述是咱们之前作业的连续,在此之前咱们现已检查了在亚洲盛行的移动运用程序的安全和隐私情况。咱们之前的研究陈述就发现UC阅读器有着类似的问题,这个阅读器是由我国电子商务巨子阿里巴巴公司开发的。那份陈述记录了UC阅读器关于用户的灵敏信息没有进行加密传输,这些信息包含了IMSI、IMEI、安卓ID、无线 *** MAC地址、地舆定位数据和用户的搜索查询。UC阅读器的安全问题是在 Edward Snowden 走漏出来的文件中确认的,该安排是五眼情报联盟,包含了加拿大、美国、英国、澳大利亚和新西兰的情报机构,他们便是运用这些缝隙来辨认用户的。
在曩昔的作业中,咱们现已剖析了抢手的第三方软件的自动更新机制。咱们发现攻击者运用百度阅读器自动更新机制来进行长途代码履行的缝隙和那些第三方软件的缝隙很是类似。
此外,咱们也对TOM-Skype和新浪UC信息渠道的关键字检查进行了查询,不仅如此,咱们还对亚洲盛行的手机谈天运用程序进行了比较剖析,比方微信、LINE和Kakao Talk。
咱们还发布了一份关于移动通讯隐私安全问题的概述,标题叫做《 The Many Identifiers in Our Pockets》。关于本篇陈述中的一些技能问题来说,那份概述中关于移动技能标明符的阐明是个很好的布景介绍。别的,咱们还在 OpenEffect上宣布了一篇关于健身追寻器上隐私和安全问题的剖析。
负责任的宣布和告诉
咱们在2019年10月26日向百度告诉了咱们的发现和咱们宣布这份陈述的目的。咱们表明不会依照世界关于宣布缝隙的常规在刊登前45天告诉。百度开始表明会在2019年1月24日发布的更新中处理咱们所确认的问题。但是百度发现这些安全问题现已影响了其他的产品,所以他们要求咱们推迟到2019年2月14日之后再宣布。为了给百度满足的时刻来修正一切缝隙,咱们赞同了。
在这之后,百度表明他们会在2月14日发布Windows和安卓客户端的更新版别。为了确认他们真的处理了问题,咱们对两种更新版别进行了剖析。剖析结果在陈述结束部分的“更新:对百度最新版别的剖析”。
咱们在2月16日向百度的世界通讯主任发送了一封关于百度阅读器安全隐私问题的电子邮件,22日咱们收到了回复。
在本陈述的结束附录有咱们和百度关于这些安全问题交涉的一切函件。
百度阅读器:简略布景介绍
百度阅读器是由我国互联网巨子百度公司专为Windows和安卓体系研制的阅读器。初次发布是在2011年,首要依据谷歌Chromium,它具有很多功用,包含集成的视频音频下载工具、内置种子下载和鼠标手势支撑。该阅读器是百度供给的许多服务之一,其他还有搜索引擎、大规模的广告渠道和百度百科(类似于 *** )。依据“我国互联网查询”的查询,到2019年,百度阅读器的网民浸透率达到了29.2%。
作为我国占主导地位的高科技公司之一,加上没有来自被屏蔽的谷歌搜索引擎的竞赛压力,百度现已成为了我国最常用的搜索引擎。在世界范围网页拜访量排名的Alexa名单上,百度排名第四,在我国排名榜首。公司2014年的收入是79.6亿美金。
2014年7月,百度和互联网流量办理公司CloudFlare建立了协作,该公司总部设在美国。二者达到协作,运用百度公司的数据中心和CloudFlare的流量办理服务来供给我国网站的拜访速度。这项服务被称为百度云加速,首要针对期望加速在我国功率低下、检查苛刻的 *** 中运转速度的企业。本陈述的第二部分将介绍了百度阅读器的另一个功用,即对境外特定网站的流量进行署理来进步功用。
技能剖析
咱们运用逆向工程技能剖析了两种版别的百度阅读器。为了剖析程序行为,咱们运用了机器码、字节码反汇编程序、反编译器和调试器,包含了JD、JADX和IDA。咱们还运用了 tcpdump和Wireshark来捕获剖析 *** 流量。
剖析分为三部分。榜首部分介绍了两种版别的中文版百度阅读器是怎么向百度服务器发送未加密或是易破解个人信息的。第二部分描述了百度阅读器Windows中文版的一种特别功用,即对境外特定网站的流量进行署理来进步功用。第三部分评论了中文版和全球版共有的缝隙,以及有多少缝隙是因为百度软件开发工具包的运用,在其他百度或是第三方运用中都能够找到该工具包。

[1] [2] [3] [4]  黑客接单网

相关文章

Web安全之XSS、CSRF和JWT

XSS 跨站脚本(Cross-site scripting,一般简称为XSS)是一种网站运用程序的安全漏洞进犯,是代码注入的一种。它答应歹意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这...

ASIS CTF - 三个魔法Web关WriteUp

榜首眼看这个应战,通常是过滤一些字符或许添加一些约束来阻挠指令履行,我经过输入&id到addr域,成功回来履行成果,能够确认这是一道指令履行的应战题。 下一步咱们来找出过滤和约束。经过测验,咱...

运用Subversion完成网站自动更新

Subversion概述     概述     Subversion,简称SVN,是一个开放源代码的版别控制体系,相对于的RCS、CVS,采用了分支办理体系。     网站更新拓扑结构       ...

Web 服务器基准测验,nginx+php vs Apache+php

本次测验nginx+php与apache+php哪种组合的核算性能及稳定性更佳 操作系统:Centos6.4 x64 硬件环境:   服务器IP 硬件装备 人物 192.168.1.2 4中心 8G...

几个不错且免费的Web安全解决方案

朋友:有什么的免费的网站安全解决方案,或者说产品么? 黑客接单渠道:当然有啊!不光免费,还很好用呢! 朋友:那还不赶忙和我说说?我小网站买不起WAF,免费的好用的话我就用下啊! 黑客接单渠道:那等下,...

2019 神盾杯 final Writeup(二)-黑客接单平台

前语 接之前的剖析文章,本篇文章将2019 神盾杯线下赛后续两道web题也解析一下。 web3 预置后门扫描 翻开源码发现是干流cms typecho,先上东西扫一波: 一起注意到版别号: 依...