注册
登录
加拿大多伦多大学研究人员发现,百度提供外部使用的软体开发套件(SDK),以及利用该套件开发的浏览器搜集用户个资以明码或容易被破解的加密法传输到百度伺服器,使用户曝露在个资外泄的风险,影响App恐达上千个。 隶属于多伦多大学的公民实验室23日发表研究成果,指中国网路搜寻龙头百度公司针对Android与Windows平台推出的百度浏览器存在安全风险。 Android版本会传输包括GPS座标、搜寻纪录、网页浏览纪录等个资以明码传送至百度伺服器,并将使用者行动装置的IMEI码与所在位置附近的无线网路资讯,以极易破解的加密法加密后传输回百度。 至于Windows版的百度浏览器,则在传输个资外,还会传输硬碟序号、MAC位址、CPU编号等更多资料,同样以简单的加密或完全不加密传输。 此外,两种版本的浏览器都未使用程式码签章来确保软体升级时的安全性,让攻击者有机可乘,可能导致被动过手脚的软体被用户安装后,让骇客得以在装置上执行任意程式码。 研究人员调查发现,导致百度浏览器曝露个资外泄风险的原因为该公司开放外界使用的百度SDK,该工具不仅百度本身使用,并有大量Android开发者使用来开发在Google Play与中国内部Android App市场上供人下载的App。 百度回应表示,对于被质疑搜集用户个资的作法,已经在使用条款中明确告知用户,对于传输资料方式的安全性问题,则会进行修改,最迟会在2月底前完成行动版浏览器、 5月初前完成Windows版浏览器的更新,并将会采用较安全的非对称式加密法。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
