百度浏览器的隐私安全问题剖析

访客5年前黑客文章1025

首要发现
百度阅读器是微柔和安卓渠道上的一种 *** 阅读器,个人用户在向服务器传输数据时进行加密,就算加密了也很简略被解密。阅读器更新时或许很轻易地被中心攻击者运用,履行恣意代码。
安卓版别的百度阅读器传输的个人可辨认数据,包含用户的GPS坐标、搜索内容和拜访时的URL,这些内容都是没有进行加密的。不仅如此,在传输用户的IMEI和邻近无线 *** 列表时也仅仅运用了简略、易于破解的加密。
Windows版的百度阅读器在传输个人可辨认数据点的时分也没有进行加密,或者是进行了简略的加密。这些数据包含了用户的搜索词、硬盘序列号模型、MAC *** 地址、URL和拜访前史,还有CPU类型。
无论是Windows版仍是安卓版的百度,都没有运用代码签名来维护软件更新,进步其安全性,也便是说,更新途径上随意一个歹意攻击者都能够让该运用程序下载履行恣意代码,这是一个严重的安全危险。
微软版别的百度阅读器有一个功用:能够将一个恳求转向特定的网站,这就答运用户能够拜访一些在我国被墙的网站。
对百度的全球版别进行剖析之后发现,数据走漏是因为百度同享了它的软件开发工具包(SDK),这影响了数百个由百度和谷歌运用商铺的第三方共同开发的运用程序,以及我国某个广泛运用的运用商铺里的数千个运用。
介绍
百度阅读器是由我国更大的科技公司百度公司开发的,向Windows和安卓渠道免费供给。它供给的功用不仅仅是一般阅读器的功用,包含了视频音频下载工具和内置的种子下载。
本篇陈述针对百度阅读器在操作过程中是怎么办理和传输用户数据做出了具体的剖析。陈述指出,Windows和安卓版别的百度阅读器都有着必定的安全隐患,都有或许走漏个人用户数据,包含用户地舆位置、硬件标明符、邻近的无线 *** 、网页阅读数据和搜索词。这些数据的传输在两种版别的阅读器中都没有进行加密或是进行了简略的加密,这也便是说,任何攻击者都能够经过手机途径并进行必定的解密手法来取得此类数据。此外,两种版别的运用都没有运用数字签名来维护其软件更新,这就意味着歹意攻击者能够让阅读器下载并履行恣意代码。
这份陈述是咱们之前作业的连续,在此之前咱们现已检查了在亚洲盛行的移动运用程序的安全和隐私情况。咱们之前的研究陈述就发现UC阅读器有着类似的问题,这个阅读器是由我国电子商务巨子阿里巴巴公司开发的。那份陈述记录了UC阅读器关于用户的灵敏信息没有进行加密传输,这些信息包含了IMSI、IMEI、安卓ID、无线 *** MAC地址、地舆定位数据和用户的搜索查询。UC阅读器的安全问题是在 Edward Snowden 走漏出来的文件中确认的,该安排是五眼情报联盟,包含了加拿大、美国、英国、澳大利亚和新西兰的情报机构,他们便是运用这些缝隙来辨认用户的。
在曩昔的作业中,咱们现已剖析了抢手的第三方软件的自动更新机制。咱们发现攻击者运用百度阅读器自动更新机制来进行长途代码履行的缝隙和那些第三方软件的缝隙很是类似。
此外,咱们也对TOM-Skype和新浪UC信息渠道的关键字检查进行了查询,不仅如此,咱们还对亚洲盛行的手机谈天运用程序进行了比较剖析,比方微信、LINE和Kakao Talk。
咱们还发布了一份关于移动通讯隐私安全问题的概述,标题叫做《 The Many Identifiers in Our Pockets》。关于本篇陈述中的一些技能问题来说,那份概述中关于移动技能标明符的阐明是个很好的布景介绍。别的,咱们还在 OpenEffect上宣布了一篇关于健身追寻器上隐私和安全问题的剖析。
负责任的宣布和告诉
咱们在2019年10月26日向百度告诉了咱们的发现和咱们宣布这份陈述的目的。咱们表明不会依照世界关于宣布缝隙的常规在刊登前45天告诉。百度开始表明会在2019年1月24日发布的更新中处理咱们所确认的问题。但是百度发现这些安全问题现已影响了其他的产品,所以他们要求咱们推迟到2019年2月14日之后再宣布。为了给百度满足的时刻来修正一切缝隙,咱们赞同了。
在这之后,百度表明他们会在2月14日发布Windows和安卓客户端的更新版别。为了确认他们真的处理了问题,咱们对两种更新版别进行了剖析。剖析结果在陈述结束部分的“更新:对百度最新版别的剖析”。
咱们在2月16日向百度的世界通讯主任发送了一封关于百度阅读器安全隐私问题的电子邮件,22日咱们收到了回复。
在本陈述的结束附录有咱们和百度关于这些安全问题交涉的一切函件。
百度阅读器:简略布景介绍
百度阅读器是由我国互联网巨子百度公司专为Windows和安卓体系研制的阅读器。初次发布是在2011年,首要依据谷歌Chromium,它具有很多功用,包含集成的视频音频下载工具、内置种子下载和鼠标手势支撑。该阅读器是百度供给的许多服务之一,其他还有搜索引擎、大规模的广告渠道和百度百科(类似于 *** )。依据“我国互联网查询”的查询,到2019年,百度阅读器的网民浸透率达到了29.2%。
作为我国占主导地位的高科技公司之一,加上没有来自被屏蔽的谷歌搜索引擎的竞赛压力,百度现已成为了我国最常用的搜索引擎。在世界范围网页拜访量排名的Alexa名单上,百度排名第四,在我国排名榜首。公司2014年的收入是79.6亿美金。
2014年7月,百度和互联网流量办理公司CloudFlare建立了协作,该公司总部设在美国。二者达到协作,运用百度公司的数据中心和CloudFlare的流量办理服务来供给我国网站的拜访速度。这项服务被称为百度云加速,首要针对期望加速在我国功率低下、检查苛刻的 *** 中运转速度的企业。本陈述的第二部分将介绍了百度阅读器的另一个功用,即对境外特定网站的流量进行署理来进步功用。
技能剖析
咱们运用逆向工程技能剖析了两种版别的百度阅读器。为了剖析程序行为,咱们运用了机器码、字节码反汇编程序、反编译器和调试器,包含了JD、JADX和IDA。咱们还运用了 tcpdump和Wireshark来捕获剖析 *** 流量。
剖析分为三部分。榜首部分介绍了两种版别的中文版百度阅读器是怎么向百度服务器发送未加密或是易破解个人信息的。第二部分描述了百度阅读器Windows中文版的一种特别功用,即对境外特定网站的流量进行署理来进步功用。第三部分评论了中文版和全球版共有的缝隙,以及有多少缝隙是因为百度软件开发工具包的运用,在其他百度或是第三方运用中都能够找到该工具包。

[1] [2] [3] [4]  黑客接单网

相关文章

web前端技能,做一个超有用的待办事项管理工具web版别

经过方案开端每一天是使你走向成功的要害,时间管理的重要性在这里我就不多说了,奉上一个web版别待办事项管理工具教程 这是终究作用图 接下来一步步完成它 html代码 html代码 对应的CSS代码 作...

Burpsuit结合SQLMapAPI发生的批量注入插件(X10)

1.1变化: 添加过滤设置 优化显现成果 添加运转提示信息 添加域名正则匹配 整个插件分为三个面板:使命面板、sqlmapapi参数装备面板、过滤条件面板。 使命面板 Server : SQLmap...

Java安全编码之用户输入

1、传统Web使用与新式移动使用 (1)传统Web使用:浏览器 HTTP 服务器(2)新式移动使用:APP HTTP 服务器 从安全视点看,传统Web使用与新式移动使用没有本质区别 2、Web使用安全...

新手攻略:DVWA-1.9全等级教程之SQL Injection

现在,最新的DVWA现已更新到1.9版别(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版别,且没有针对DVWA high等级的教程,因而萌发了一个编撰新手教程的主意,过错的...

根底事情呼应中的Volatility作业流程

最近,我发现自己需求对完好内存转储进行一些查询。通过一段时间的搜索,我发现了Volatility-Labs的这篇文章,依据其间的辅导办法,我能够很好的来评价内存转储。当然,你或许会有更好、更深度的内存...

专业黑客接单一般多少钱 专业接单黑客联系方式

专业黑客接单一般多少钱 专业接单黑客联系方式

中国黑客联盟的安全工程师上周透露,中国黑客联盟产品的持续安全改进终于开始见效。 中国黑客联盟的安全工程师Matt Miller在以色列举行的BlueHat安全会议上的一次演讲中说,现在广泛和...