加拿大多倫多大學研究人員發現,百度提供外部使用的軟體開發套件(SDK),以及利用該套件開發的瀏覽器蒐集用戶個資以明碼或容易被破解的加密法傳輸到百度伺服器,使用戶曝露在個資外洩的風險,影響App恐達上千個。
隸屬於多倫多大學的公民實驗室23日發表研究成果,指中國網路搜尋龍頭百度公司針對Android與Windows平台推出的百度瀏覽器存在安全風險。
Android版本會傳輸包括GPS座標、搜尋紀錄、網頁瀏覽紀錄等個資以明碼傳送至百度伺服器,並將使用者行動裝置的IMEI碼與所在位置附近的無線網路資訊,以極易破解的加密法加密後傳輸回百度。
至於Windows版的百度瀏覽器,則在傳輸個資外,還會傳輸硬碟序號、MAC位址、CPU編號等更多資料,同樣以簡單的加密或完全不加密傳輸。
此外,兩種版本的瀏覽器都未使用程式碼簽章來確保軟體升級時的安全性,讓攻擊者有機可乘,可能導致被動過手腳的軟體被用戶安裝後,讓駭客得以在裝置上執行任意程式碼。
研究人員調查發現,導致百度瀏覽器曝露個資外洩風險的原因為該公司開放外界使用的百度SDK,該工具不僅百度本身使用,並有大量Android開發者使用來開發在Google Play與中國內部Android App市場上供人下載的App。
百度回應表示,對於被質疑蒐集用戶個資的作法,已經在使用條款中明確告知用戶,對於傳輸資料方式的安全性問題,則會進行修改,最遲會在2月底前完成行動版瀏覽器、5月初前完成Windows版瀏覽器的更新,並將會採用較安全的非對稱式加密法。