百度瀏覽器是微軟和安卓平臺(tái)上的一種網(wǎng)絡(luò)瀏覽器���,個(gè)人用戶在向服務(wù)器傳輸數(shù)據(jù)時(shí)進(jìn)行加密,就算加密了也很容易被解密����。瀏覽器更新時(shí)可能很輕易地被中間攻擊者利用,執(zhí)行任意代碼��。
安卓版本的百度瀏覽器傳輸?shù)膫(gè)人可識(shí)別數(shù)據(jù)�,包括用戶的GPS坐標(biāo)、搜索內(nèi)容和訪問(wèn)時(shí)的URL��,這些內(nèi)容都是沒(méi)有進(jìn)行加密的����。不僅如此�����,在傳輸用戶的IMEI和附近無(wú)線網(wǎng)絡(luò)列表時(shí)也只是使用了簡(jiǎn)單�����、易于破解的加密���。
Windows版的百度瀏覽器在傳輸個(gè)人可識(shí)別數(shù)據(jù)點(diǎn)的時(shí)候也沒(méi)有進(jìn)行加密,或者是進(jìn)行了簡(jiǎn)單的加密���。這些數(shù)據(jù)包括了用戶的搜索詞、硬盤(pán)序列號(hào)模型�����、MAC網(wǎng)絡(luò)地址���、URL和訪問(wèn)歷史�,還有CPU型號(hào)�����。
無(wú)論是Windows版還是安卓版的百度,都沒(méi)有使用代碼簽名來(lái)保護(hù)軟件更新�����,提高其安全性��,也就是說(shuō)���,更新路徑上隨便一個(gè)惡意攻擊者都可以讓該應(yīng)用程序下載執(zhí)行任意代碼�����,這是一個(gè)重大的安全風(fēng)險(xiǎn)���。
微軟版本的百度瀏覽器有一個(gè)功能:可以將一個(gè)請(qǐng)求轉(zhuǎn)向特定的網(wǎng)站,這就允許用戶可以訪問(wèn)一些在中國(guó)被墻的網(wǎng)站����。
對(duì)百度的全球版本進(jìn)行分析之后發(fā)現(xiàn),數(shù)據(jù)泄露是因?yàn)榘俣裙蚕砹怂能浖_(kāi)發(fā)工具包(SDK)����,這影響了數(shù)百個(gè)由百度和谷歌應(yīng)用商店的第三方共同開(kāi)發(fā)的應(yīng)用程序���,以及中國(guó)某個(gè)廣泛使用的應(yīng)用商店里的數(shù)千個(gè)應(yīng)用。
介紹
百度瀏覽器是由中國(guó)最大的科技公司百度公司開(kāi)發(fā)的�����,向Windows和安卓平臺(tái)免費(fèi)提供�����。它提供的功能不僅僅是一般瀏覽器的功能���,包括了視頻音頻下載工具和內(nèi)置的種子下載���。
本篇報(bào)告針對(duì)百度瀏覽器在操作過(guò)程中是如何管理和傳輸用戶數(shù)據(jù)做出了詳細(xì)的分析。報(bào)告指出�����,Windows和安卓版本的百度瀏覽器都有著一定的安全隱患��,都有可能泄露個(gè)人用戶數(shù)據(jù)���,包括用戶地理位置��、硬件標(biāo)示符�����、附近的無(wú)線網(wǎng)絡(luò)�、網(wǎng)頁(yè)瀏覽數(shù)據(jù)和搜索詞�����。這些數(shù)據(jù)的傳輸在兩種版本的瀏覽器中都沒(méi)有進(jìn)行加密或是進(jìn)行了簡(jiǎn)單的加密��,這也就是說(shuō)���,任何攻擊者都可以通過(guò)手機(jī)路徑并進(jìn)行一定的解密手段來(lái)獲得此類數(shù)據(jù)����。此外���,兩種版本的應(yīng)用都沒(méi)有使用數(shù)字簽名來(lái)保護(hù)其軟件更新���,這就意味著惡意攻擊者可以讓瀏覽器下載并執(zhí)行任意代碼����。
這份報(bào)告是我們之前工作的延續(xù)����,在此之前我們已經(jīng)審查了在亞洲流行的移動(dòng)應(yīng)用程序的安全和隱私狀況。我們之前的研究報(bào)告就發(fā)現(xiàn)UC瀏覽器有著類似的問(wèn)題��,這個(gè)瀏覽器是由中國(guó)電子商務(wù)巨頭阿里巴巴公司開(kāi)發(fā)的����。那份報(bào)告記錄了UC瀏覽器對(duì)于用戶的敏感信息沒(méi)有進(jìn)行加密傳輸,這些信息包括了IMSI�����、IMEI���、安卓ID����、無(wú)線網(wǎng)絡(luò)MAC地址���、地理定位數(shù)據(jù)和用戶的搜索查詢。UC瀏覽器的安全問(wèn)題是在 Edward Snowden 泄露出來(lái)的文件中確定的,該組織是五眼情報(bào)聯(lián)盟����,包括了加拿大、美國(guó)����、英國(guó)、澳大利亞和新西蘭的情報(bào)機(jī)構(gòu)�����,他們就是利用這些漏洞來(lái)識(shí)別用戶的����。
在過(guò)去的工作中,我們已經(jīng)分析了熱門(mén)的第三方軟件的自動(dòng)更新機(jī)制����。我們發(fā)現(xiàn)攻擊者利用百度瀏覽器自動(dòng)更新機(jī)制來(lái)進(jìn)行遠(yuǎn)程代碼執(zhí)行的漏洞和那些第三方軟件的漏洞很是相似。
此外�,我們也對(duì)TOM-Skype和新浪UC信息平臺(tái)的關(guān)鍵字審查進(jìn)行了調(diào)查,不僅如此��,我們還對(duì)亞洲流行的手機(jī)聊天應(yīng)用程序進(jìn)行了比較分析�����,比如微信、LINE和Kakao Talk�。
負(fù)責(zé)任的披露和通知
我們?cè)?/span>2015年10月26日向百度通知了我們的發(fā)現(xiàn)和我們發(fā)表這份報(bào)告的意圖。我們表示不會(huì)按照國(guó)際對(duì)于披露漏洞的慣例在刊登前45天通知����。百度最初表示會(huì)在2016年1月24日發(fā)布的更新中解決我們所確定的問(wèn)題。然而百度發(fā)現(xiàn)這些安全問(wèn)題已經(jīng)影響了其他的產(chǎn)品�,所以他們要求我們推遲到2016年2月14日之后再發(fā)表。為了給百度足夠的時(shí)間來(lái)修復(fù)所有漏洞���,我們同意了�。
在這之后�,百度表示他們會(huì)在2月14日發(fā)布Windows和安卓客戶端的更新版本。為了確定他們真的解決了問(wèn)題�����,我們對(duì)兩種更新版本進(jìn)行了分析����。分析結(jié)果在報(bào)告結(jié)尾部分的“更新:對(duì)百度最新版本的分析”。
我們?cè)?/span>2月16日向百度的國(guó)際通信主任發(fā)送了一封關(guān)于百度瀏覽器安全隱私問(wèn)題的電子郵件����,22日我們收到了回復(fù)。
在本報(bào)告的結(jié)尾附錄有我們和百度關(guān)于這些安全問(wèn)題交涉的所有信件���。
百度瀏覽器:簡(jiǎn)單背景介紹
百度瀏覽器是由中國(guó)互聯(lián)網(wǎng)巨頭百度公司專為Windows和安卓系統(tǒng)研發(fā)的瀏覽器�。首次發(fā)布是在2011年����,主要基于谷歌Chromium,它擁有大量功能����,包括集成的視頻音頻下載工具、內(nèi)置種子下載和鼠標(biāo)手勢(shì)支持�����。該瀏覽器是百度提供的許多服務(wù)之一���,其他還有搜索引擎�、大規(guī)模的廣告平臺(tái)和百度百科(類似于維基百科)���。根據(jù)“中國(guó)互聯(lián)網(wǎng)觀察”的調(diào)查�,到2015年,百度瀏覽器的網(wǎng)民滲透率達(dá)到了29.2%��。
作為中國(guó)占主導(dǎo)地位的高科技公司之一���,加上沒(méi)有來(lái)自被屏蔽的谷歌搜索引擎的競(jìng)爭(zhēng)壓力����,百度已經(jīng)成為了中國(guó)最常用的搜索引擎�����。在世界范圍網(wǎng)頁(yè)訪問(wèn)量排名的Alexa名單上���,百度排名第四���,在中國(guó)排名第一。公司2014年的收入是79.6億美金��。
2014年7月��,百度和互聯(lián)網(wǎng)流量管理公司CloudFlare建立了合作��,該公司總部設(shè)在美國(guó)。二者達(dá)成合作���,利用百度公司的數(shù)據(jù)中心和CloudFlare的流量管理服務(wù)來(lái)提供中國(guó)網(wǎng)站的訪問(wèn)速度����。這項(xiàng)服務(wù)被稱為百度云加速����,主要針對(duì)希望加快在中國(guó)效率低下��、審查嚴(yán)苛的網(wǎng)絡(luò)中運(yùn)行速度的企業(yè)��。本報(bào)告的第二部分將介紹了百度瀏覽器的另一個(gè)功能�����,即對(duì)境外特定網(wǎng)站的流量進(jìn)行代理來(lái)提高性能�。
技術(shù)分析
我們使用逆向工程技術(shù)分析了兩種版本的百度瀏覽器。為了分析程序行為�,我們使用了機(jī)器碼、字節(jié)碼反匯編程序���、反編譯器和調(diào)試器�,包括了JD��、JADX和IDA。我們還使用了 tcpdump和Wireshark來(lái)捕獲分析網(wǎng)絡(luò)流量�����。
分析分為三部分����。第一部分介紹了兩種版本的中文版百度瀏覽器是如何向百度服務(wù)器發(fā)送未加密或是易破解個(gè)人信息的。第二部分描述了百度瀏覽器Windows中文版的一種特別功能��,即對(duì)境外特定網(wǎng)站的流量進(jìn)行代理來(lái)提高性能����。第三部分討論了中文版和全球版共有的漏洞,以及有多少漏洞是因?yàn)榘俣溶浖_(kāi)發(fā)工具包的使用���,在其他百度或是第三方應(yīng)用中都可以找到該工具包��。
“易破解”的加密
報(bào)告中�,在談到百度瀏覽器使用的加密的時(shí)候我們會(huì)用到“易破解”這個(gè)短語(yǔ)��。在這里�����,我們來(lái)討論一下我們所說(shuō)的這句話,以及如何正確執(zhí)行百度瀏覽器的加密術(shù)�����。
當(dāng)我們說(shuō)加密術(shù)是“易破解”的時(shí)候��,并不是說(shuō)加密本身的算法是有缺陷或是不安全的(盡管有時(shí)候百度瀏覽器使用的算法的確是這樣)����。相反的�����,我們的意思是該算法使用不當(dāng)��。顧名思義����,百度瀏覽器的分析師可以利用該算法編寫(xiě)一個(gè)解密工具。
微信關(guān)注
網(wǎng)站導(dǎo)航
