端聞

報告指百度SDK漏洞導致大量用戶資訊洩露


報告稱,用百度提供的軟件數據工作包開發出來的數千個 App,會收集用戶個人信息並傳給百度。攝:Aly Song/REUTERS
報告稱,用百度提供的軟件數據工作包開發出來的數千個 App,會收集用戶個人信息並傳給百度。攝:Aly Song/REUTERS

加拿大公民實驗室(Citizen Lab)近日發布報告,稱在百度開發一款安卓(Android)平台的軟件開發工具包(Software Development Kit, SDK)內發現威脅用戶隱私安全的漏洞,影響到包括百度瀏覽器和使用相關SDK開發的數千款應用。

受這一漏洞影響,百度瀏覽器和相關應用蒐集到的用戶信息,會在不經加密或非常容易被破解的加密狀態下傳輸到百度服務器,因而讓用戶的個人隱私暴露在風險之下。報告發現:

  • 安卓版本的百度瀏覽器還以不加密的方式傳輸包括用戶的GPS定位,歷史搜索項目,和網址瀏覽記錄等用戶個人信息,並以用輕易可以被破解的加密方式傳輸用戶的IMEI(國際移動電話識別碼)和一連串用戶附近無線網絡的信息。

  • Windows 版本的百度瀏覽器同樣以不加密或可輕易破解的簡單加密方式傳送一些列可辨認的個人信息,包括用戶的歷史搜索項目,硬盤模型序列號和網絡MAC地址(媒體存取控制地址),所有歷史瀏覽頁面的網址鏈接和標題,以及中央處理器(CPU)的型號。

  • 無論安卓版本還是 Windows 版本的百度瀏覽器,都沒有使用代碼簽名來保護軟件升級。這意味着在路徑內的惡意中間人可能啟動應用下載以及執行任意的程序,從而帶來非常高的安全風險。

百度公司隨後回復稱相關報道「存在不實信息和誤解」,表示去年在接到加拿大公民實驗室的通報後,已於去年12月修復了相關漏洞,並強調使用百度提供的SDK開發的應用不會蒐集搜索關鍵詞、網站訪問記錄等用戶數據,也不存在與第三方分享這些數據的情況。百度還表示,已經建立了一套安全管理體系,以保證百度的產品和網站安全,並會加強用戶隱私權保護。

不是設計很糟糕,就是有意設計了監控。

公民實驗室首席研究員 Jeffrey Knockel

百度近年來多次身陷醜聞。2009年 Google 退出中國後,百度利用其在搜索引擎領域的壟斷地位引入競價排名,將大量虛假廣告和錯誤信息位列搜索結果的靠前位置,被長期指責。去年媒體又曝出百度與「莆田系」醫療機構間的利益關聯,再度引發熱議。今年1月,百度貼吧血友病患者論壇的管理權被賣給疑似為騙子的營銷機構,又使百度陷入新一輪的譴責,被稱「不僅謀財,而且害命」。

此外,百度廣告聯盟也曾被曝插入了攻擊代碼共享網站 GitHub(greatfire和cn.nytimes)的代碼,使得從海外或代理服務器訪問嵌入百度廣告聯盟腳本的網站,便相當於發起針對 GitHub 的 DDoS(分布式拒絕服務)攻擊。

在問答網站知乎上,類似「為甚麼有人說『百度全面降低了中國的互聯網體驗』?」、「百度作了哪些惡?」、「為甚麼百度在知乎飽受鄙夷與不屑?」這樣的問題層出不窮,多個答案點讚量過萬。

85.54 %
據 Analysys 易觀智庫產業數據庫發布的報告顯示,2015年第4季度,在不含渠道及海外收入的中國搜索引擎運營商市場收入份額中,百度佔到85.54%,搜狗為6.69%,谷歌中國為4.09%,其他為3.68%。

聲音

如果對惡放任、監管不力是犯罪,百度則是不僅放任不監管,還幫助其傳播,從中謀利。罪該萬死。

知乎網友 Chen

不單是一個百度的問題,凡是中國的境內的軟件,它所有的軟件都存在着安全的隱患。它會配合政府的公權力,只要政府覺得有必要讓某個軟件配合進行監控任務,我想這個都是小事一樁。在高度集權的國家,政府是可以為所欲為的。所有的企業都必須聽命於政府,才能夠得以生存,否則它很快就會經營不下去,會被摧毀。

網友李非

百度公司的廣告語不該是「百度一下,你就知道」,應該是「百度一下,你就被知道」。

中國網友

公民實驗室

公民實驗室(Citizen Lab)隸屬於多倫多大學蒙克國際事務學校(Munk School of Global Affairs),是一個跨學科的實驗室,綜合了政治科學、社會學、計算機科學、工程和平面設計,主要監測和分析政治力量在網絡世界的運作。(資料來自網絡)

來源:CitizenlabReuters南華早報奇客資訊網易科技

2017 年 7 月,端傳媒啟動了對深度內容付費的會員機制。在此之前刊發的深度原創報導,都會免費開放,歡迎轉發,也期待你付費支持我們

如果你喜歡,就分享給更多人吧