研究機構:百度多款App加密簡陋,恐洩漏用戶數據

2016.02.24 by
網易科技
研究機構:百度多款App加密簡陋,恐洩漏用戶數據
據路透社報導,研究人員指出,數千款利用百度程式碼開發的應用程式收集了使用者個人資訊,並將這些資訊回傳給該公司,其中很多資訊可以被輕鬆截取...

圖說明

據路透社報導,研究人員指出,數千款利用百度程式碼開發的應用程式收集了使用者個人資訊,並將這些資訊回傳給該公司,其中很多資訊可以被輕鬆截取。

這些應用程式已經被下載了數億次。

加拿大Citizen Lab的研究人員發現,百度開發的一個Android軟體開發套件存在問題。這些問題還影響到百度的手機流覽器,百度開發的其他應用程式,以及使用同款工具包開發的其他公司應用程式。研究人員稱,百度的Windows流覽器也受影響。

同一批研究人員去年指出,類似的問題也存在於阿里巴巴的UC流覽器中。這也是一款在全球最大網路市場上被廣泛使用的手機流覽器。

阿里巴巴修復了其中的漏洞,而百度則對路透社表示,公司將修復工具包中的加密漏洞,但仍將從商業用途出發收集資料。百度稱其中一些資料會與第三方廠商分享。百度稱,公司「只會在權威執法機關提出合法請求時才提供資料」。

Citizen Lab實驗室的首席研究員傑佛瑞·諾克爾(Jeffrey Knockel)在週三發佈正式報告前對路透社表示,這些被收集了很長時間的未加密資料包括使用者地理位置資訊、搜索詞條,以及網站訪問歷史。

這一問題彰顯出,用戶極難知曉自己的手機收集並傳輸了何種資料,而個人資料也可能因為糟糕的加密或完全沒有加密而存在著被洩露的風險。這一問題還突顯出,可能有相當多的團體對這類資料感興趣。

Citizen Lab的負責人德爾博特(Ron Deibert)表示:「這要不是個極其蹩腳的設計,就是設計用來監控。」

Citizen Lab表示,自從去年11月提請百度注意後,該公司已經修復了其中的一些漏洞,但是百度Android流覽器仍然會發送諸如裝置ID等敏感資訊,而且加密形式極為簡陋。

百度對路透社表示,公司對這些資料的興趣完全是出於商業目的,但拒絕透露還有誰能訪問這些資訊。

在美國,資料安全與隱私問題被長久關注。蘋果公司目前正在與聯邦調查局對峙,雙方就是否要破解加州槍案iPhone一事展開了激烈爭論。

Citizen Lab表示,去年對阿里巴巴UC流覽器的研究,是受到美國國安局「稜鏡門」事件的啟發。

阿里巴巴當時表示,沒有證據證明使用者資料被竊取,但公司透過升級流覽器的方法解決了這一問題。

研究人員稱,無法評估百度事件影響的人群規模。

中國的一些軟體發展商表示,加密缺失已經屢見不鮮,這部分是因為業務成長勢猛而且安全意識淡薄造成的。

本文授權轉載自:網易科技

分享代表圖來自:顔なし via flickr, cc license

每日精選科技圈重要消息