加拿大公民实验室(Citizen Lab)近日发布报告,称在百度开发一款安卓(Android)平台的软件开发工具包(Software Development Kit, SDK)内发现威胁用户隐私安全的漏洞,影响到包括百度浏览器和使用相关SDK开发的数千款应用。
受这一漏洞影响,百度浏览器和相关应用搜集到的用户信息,会在不经加密或非常容易被破解的加密状态下传输到百度服务器,因而让用户的个人隐私暴露在风险之下。报告发现:
-
安卓版本的百度浏览器还以不加密的方式传输包括用户的GPS定位,历史搜索项目,和网址浏览记录等用户个人信息,并以用轻易可以被破解的加密方式传输用户的IMEI(国际移动电话识别码)和一连串用户附近无线网络的信息。
-
Windows 版本的百度浏览器同样以不加密或可轻易破解的简单加密方式传送一些列可辨认的个人信息,包括用户的历史搜索项目,硬盘模型序列号和网络MAC地址(媒体存取控制地址),所有历史浏览页面的网址链接和标题,以及中央处理器(CPU)的型号。
-
无论安卓版本还是 Windows 版本的百度浏览器,都没有使用代码签名来保护软件升级。这意味着在路径内的恶意中间人可能启动应用下载以及执行任意的程序,从而带来非常高的安全风险。
百度公司随后回复称相关报道“存在不实信息和误解”,表示去年在接到加拿大公民实验室的通报后,已于去年12月修复了相关漏洞,并强调使用百度提供的SDK开发的应用不会搜集搜索关键词、网站访问记录等用户数据,也不存在与第三方分享这些数据的情况。百度还表示,已经建立了一套安全管理体系,以保证百度的产品和网站安全,并会加强用户隐私权保护。
不是设计很糟糕,就是有意设计了监控。
百度近年来多次身陷丑闻。2009年 Google 退出中国后,百度利用其在搜索引擎领域的垄断地位引入竞价排名,将大量虚假广告和错误信息位列搜索结果的靠前位置,被长期指责。去年媒体又曝出百度与“莆田系”医疗机构间的利益关联,再度引发热议。今年1月,百度贴吧血友病患者论坛的管理权被卖给疑似为骗子的营销机构,又使百度陷入新一轮的谴责,被称“不仅谋财,而且害命”。
此外,百度广告联盟也曾被曝插入了攻击代码共享网站 GitHub(greatfire和cn.nytimes)的代码,使得从海外或代理服务器访问嵌入百度广告联盟脚本的网站,便相当于发起针对 GitHub 的 DDoS(分布式拒绝服务)攻击。
在问答网站知乎上,类似“为甚么有人说‘百度全面降低了中国的互联网体验’?”、“百度作了哪些恶?”、“为甚么百度在知乎饱受鄙夷与不屑?”这样的问题层出不穷,多个答案点赞量过万。