当前位置:首页 > 黑客业务 > 正文内容

百度浏览器的隐私安全问题剖析

访客4年前 (2021-04-15)黑客业务510

首要发现
百度阅读器是微柔和安卓渠道上的一种网络阅读器,个人用户在向服务器传输数据时进行加密,就算加密了也很简略被解密。阅读器更新时或许很轻易地被中心攻击者运用,履行恣意代码。
安卓版别的百度阅读器传输的个人可辨认数据,包含用户的GPS坐标、搜索内容和拜访时的URL,这些内容都是没有进行加密的。不仅如此,在传输用户的IMEI和邻近无线网络列表时也仅仅运用了简略、易于破解的加密。
Windows版的百度阅读器在传输个人可辨认数据点的时分也没有进行加密,或者是进行了简略的加密。这些数据包含了用户的搜索词、硬盘序列号模型、MAC网络地址、URL和拜访前史,还有CPU类型。
无论是Windows版仍是安卓版的百度,都没有运用代码签名来维护软件更新,进步其安全性,也便是说,更新途径上随意一个歹意攻击者都能够让该运用程序下载履行恣意代码,这是一个严重的安全危险。
微软版别的百度阅读器有一个功用:能够将一个恳求转向特定的网站,这就答运用户能够拜访一些在我国被墙的网站。
对百度的全球版别进行剖析之后发现,数据走漏是因为百度同享了它的软件开发工具包(SDK),这影响了数百个由百度和谷歌运用商铺的第三方共同开发的运用程序,以及我国某个广泛运用的运用商铺里的数千个运用。
介绍
百度阅读器是由我国最大的科技公司百度公司开发的,向Windows和安卓渠道免费供给。它供给的功用不仅仅是一般阅读器的功用,包含了视频音频下载工具和内置的种子下载。
本篇陈述针对百度阅读器在操作过程中是怎么办理和传输用户数据做出了具体的剖析。陈述指出,Windows和安卓版别的百度阅读器都有着必定的安全隐患,都有或许走漏个人用户数据,包含用户地舆位置、硬件标明符、邻近的无线网络、网页阅读数据和搜索词。这些数据的传输在两种版别的阅读器中都没有进行加密或是进行了简略的加密,这也便是说,任何攻击者都能够经过手机途径并进行必定的解密手法来取得此类数据。此外,两种版别的运用都没有运用数字签名来维护其软件更新,这就意味着歹意攻击者能够让阅读器下载并履行恣意代码。
这份陈述是咱们之前作业的连续,在此之前咱们现已检查了在亚洲盛行的移动运用程序的安全和隐私情况。咱们之前的研究陈述就发现UC阅读器有着类似的问题,这个阅读器是由我国电子商务巨子阿里巴巴公司开发的。那份陈述记录了UC阅读器关于用户的灵敏信息没有进行加密传输,这些信息包含了IMSI、IMEI、安卓ID、无线网络MAC地址、地舆定位数据和用户的搜索查询。UC阅读器的安全问题是在 Edward Snowden 走漏出来的文件中确认的,该安排是五眼情报联盟,包含了加拿大、美国、英国、澳大利亚和新西兰的情报机构,他们便是运用这些缝隙来辨认用户的。
在曩昔的作业中,咱们现已剖析了抢手的第三方软件的自动更新机制。咱们发现攻击者运用百度阅读器自动更新机制来进行长途代码履行的缝隙和那些第三方软件的缝隙很是类似。
此外,咱们也对TOM-Skype和新浪UC信息渠道的关键字检查进行了查询,不仅如此,咱们还对亚洲盛行的手机谈天运用程序进行了比较剖析,比方微信、LINE和Kakao Talk。
咱们还发布了一份关于移动通讯隐私安全问题的概述,标题叫做《 The Many Identifiers in Our Pockets》。关于本篇陈述中的一些技能问题来说,那份概述中关于移动技能标明符的阐明是个很好的布景介绍。别的,咱们还在 OpenEffect上宣布了一篇关于健身追寻器上隐私和安全问题的剖析。
负责任的宣布和告诉
咱们在2019年10月26日向百度告诉了咱们的发现和咱们宣布这份陈述的目的。咱们表明不会依照世界关于宣布缝隙的常规在刊登前45天告诉。百度开始表明会在2019年1月24日发布的更新中处理咱们所确认的问题。但是百度发现这些安全问题现已影响了其他的产品,所以他们要求咱们推迟到2019年2月14日之后再宣布。为了给百度满足的时刻来修正一切缝隙,咱们赞同了。
在这之后,百度表明他们会在2月14日发布Windows和安卓客户端的更新版别。为了确认他们真的处理了问题,咱们对两种更新版别进行了剖析。剖析结果在陈述结束部分的“更新:对百度最新版别的剖析”。
咱们在2月16日向百度的世界通讯主任发送了一封关于百度阅读器安全隐私问题的电子邮件,22日咱们收到了回复。
在本陈述的结束附录有咱们和百度关于这些安全问题交涉的一切函件。
百度阅读器:简略布景介绍
百度阅读器是由我国互联网巨子百度公司专为Windows和安卓体系研制的阅读器。初次发布是在2011年,首要依据谷歌Chromium,它具有很多功用,包含集成的视频音频下载工具、内置种子下载和鼠标手势支撑。该阅读器是百度供给的许多服务之一,其他还有搜索引擎、大规模的广告渠道和百度百科(类似于维基百科)。依据“我国互联网查询”的查询,到2019年,百度阅读器的网民浸透率达到了29.2%。
作为我国占主导地位的高科技公司之一,加上没有来自被屏蔽的谷歌搜索引擎的竞赛压力,百度现已成为了我国最常用的搜索引擎。在世界范围网页拜访量排名的Alexa名单上,百度排名第四,在我国排名榜首。公司2014年的收入是79.6亿美金。
2014年7月,百度和互联网流量办理公司CloudFlare建立了协作,该公司总部设在美国。二者达到协作,运用百度公司的数据中心和CloudFlare的流量办理服务来供给我国网站的拜访速度。这项服务被称为百度云加速,首要针对期望加速在我国功率低下、检查苛刻的网络中运转速度的企业。本陈述的第二部分将介绍了百度阅读器的另一个功用,即对境外特定网站的流量进行署理来进步功用。
技能剖析
咱们运用逆向工程技能剖析了两种版别的百度阅读器。为了剖析程序行为,咱们运用了机器码、字节码反汇编程序、反编译器和调试器,包含了JD、JADX和IDA。咱们还运用了 tcpdump和Wireshark来捕获剖析网络流量。
剖析分为三部分。榜首部分介绍了两种版别的中文版百度阅读器是怎么向百度服务器发送未加密或是易破解个人信息的。第二部分描述了百度阅读器Windows中文版的一种特别功用,即对境外特定网站的流量进行署理来进步功用。第三部分评论了中文版和全球版共有的缝隙,以及有多少缝隙是因为百度软件开发工具包的运用,在其他百度或是第三方运用中都能够找到该工具包。

[1] [2] [3] [4]  黑客接单网

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106017.html

分享给朋友:

“百度浏览器的隐私安全问题剖析” 的相关文章

华流芒种是几月几号农历

芒种是二十四节气之一,大家对于二十四节气也已经非常熟悉了,但是芒种是哪一天还不是很清楚,今年的芒种是阳历6月5日,那么2020年芒种是农历几月几号呢?接下来我们就一起了解一下吧。     2020年芒种是农历几月几号...

猪肉怎么选?颜色有区别吗?今天做饭的时候发现上次买的猪肉颜色跟这

猪肉怎么选?颜色有区别吗?今天做饭的时候发现上次买的猪肉颜色跟这 买猪肉时,根据肉的颜色、外观、气味等可以判断出肉的质量是好还是坏。优质的猪肉,脂肪白而硬,且带有香味。肉的外面往往有一层稍带干燥的膜,肉质紧密,富有弹性,手指压后凹陷处立即复原。 次鲜肉肉色较鲜肉暗,缺乏光泽,脂肪呈灰白色;表面带...

今天猪肉价格多少钱一斤 「未来10天毛猪价格」

但是价格便宜点。比昨天下降 0点8;鸡蛋8点,我今天出售5头价格14点00,价格稳定;江苏活猪价15元/公斤左右,规模场品种猪价格在6点50-6,猪价或将有所回暖,点70元/斤之间,年的低迷期。 去年9月份以来,89元/公斤,山东省普通猪价格大约在6,从春节时的最高15元/公斤左右价格,现在江苏生猪...

中铁快运寄件电话 - 中铁快运官方网站

尽快前去领取吧,查询可以来我们,包裹已经到石家庄了,告诉对方所寄何物。广木头箱子费用在及时上百不等。 .网站“中铁快运单号查询系统”留言查询,开始不知道。 中铁快运的,且电话通知无人接听,但是价格也很贵。在哪里寄,中铁快运,电话多少中铁。 打了个电话,K54,徐州中铁快运,你好,木头箱子中铁能提供。...

存储过程oracle(oracle财务系统)

推荐教程:甲骨文教程 本文主要介绍甲骨文中的数据转换。 1.日期转换成字符串(以2016年10月20日为例) 选择to_char(sysdate,& # 39;yyyy-mm-DD hh24:mi:ss & # 39;)strDateTime从dual-获取年-月-日:分:秒-...

书黑客,黑客软件破解吃鸡,网站黑客攻击工具

关于较新版别的Windbg,官网已不再支撑独自下载,只能经过Windows SDK里边勾选来装置,不过装置之后Redist目录会有x64/x86/arm的装置包,也可独立装置。 此次评选活动的意图在于,在安全社区中宣扬这些技能,让职业进步对安全的注重,一起也能让这些技能能遭到认可和铭记。 因而,根据...

评论列表

泪灼孤央
2年前 (2022-07-05)

版别进行剖析之后发现,数据走漏是因为百度同享了它的软件开发工具包(SDK),这影响了数百个由百度和谷歌运用商铺的第三方共同开发的运用程序,以及我国某个广泛运用的运用商铺里的数千个运用。介绍百度阅读器是由我国最大的科技公司百度公司开发的,向Windows和安卓渠道免费供给。它供给的功用不仅仅

性许闻呓
2年前 (2022-07-05)

的网站。对百度的全球版别进行剖析之后发现,数据走漏是因为百度同享了它的软件开发工具包(SDK),这影响了数百个由百度和谷歌运用商铺的第三方共同开发的运用程序,以及我国某个

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。