原标题:百度SDK及浏览器有重大安全漏洞恐泄个资,上千App受累
图片来源:百度
加拿大多伦多大学研究人员发现,百度提供外部使用的软件开发套件(SDK),以及利用该套件开发的浏览器搜集用户个资以明码或容易被破解的加密法传输到百度伺服器,使用户曝露在个资外泄的风险,影响App恐达上千个。
隶属于多伦多大学的公民实验室23日发表研究成果,指中国网络搜寻龙头百度公司针对Android与Windows平台推出的百度浏览器存在安全风险。
Android版本会传输包括GPS座标、搜寻纪录、网页浏览纪录等个资以明码传送至百度伺服器,并将使用者行动装置的IMEI码与所在位置附近的无线网络资讯,以极易破解的加密法加密后传输回百度。
至于Windows版的百度浏览器,则在传输个资外,还会传输硬盘序号、MAC位址、CPU编号等更多资料,同样以简单的加密或完全不加密传输。
此外,两种版本的浏览器都未使用程式码签章来确保软件升级时的安全性,让攻击者有机可乘,可能导致被动过手脚的软件被用户安装后,让骇客得以在装置上执行任意程式码。
研究人员调查发现,导致百度浏览器曝露个资外泄风险的原因为该公司开放外界使用的百度SDK,该工具不仅百度本身使用,并有大量Android开发者使用来开发在Google Play与中国內部Android App市场上供人预告的App。
百度回应表示,对于被质疑搜集用户个资的作法,已经在使用条款中明确告知用户,对于传输资料方式的安全性问题,则会进行修改,最迟会在2月底前完成行动版浏览器、5月初前完成Windows版浏览器的更新,并将会采用较安全的非对称式加密法。
相关:
Google与红帽的安全研究人员近日不约而同地发现了Linux的GNU C library(Glibc)专案中藏匿一重大的安全漏洞
Quartz 是同名商业新闻网站推出的独立应用。目前,只有 iOS 版本。除了配色,它长得 iMessage 差不多,想和
2015年,依然是周鸿祎高调的一年。但不同于往年的是,这一年与周鸿祎绑在一起的标签,不是搜索,而是手机。
安卓版Chrome浏览器也能认得附近装置, 将支援Beacon技术建立实体网路
图片来源: Google Google近日宣布,Chrome 49 for Android测试版已开始支援“实体网路”(Physical Web),
JavaScript 是个灵活的脚本语言,能方便的处理业务逻辑。当需要传输通信时,我们大多选择 JSON 或 XML 格式
有的小伙伴会问:博主,没有Mac怎么学Swift语言呢,我想学Swift,但前提得买个Mac。非也,非也。如果你想了
几天前,一位朋友问我:都说推荐用Qualys SSL Labs这个工具测试 SSL 安全性,为什么有些安全实力很强的大厂
最近 "个人恶趣味" 持续发酵,突然想了解下浏览器内核的发展历史。 内核 首先得搞懂浏览器内核
CentOS7/Ubuntu15.04上安装PHPLaravel过程详解
大家好,这篇文章将要讲述如何在 CentOS 7 / Ubuntu 15.04 上安装 Laravel。如果你是一个 PHP Web 的开发者
本文由玩赚乐(www.banghui.org)– 小峰原创翻译,转载请看清文末的转载要求,欢迎加入技术翻译小组!如果只