深八百度说修复了隐私漏洞但它是不是在偷你

2019-03-26 18:21:41 来源: 铜陵信息港

易科技讯 2月24日消息,据路透社报道,研究人员指出,数千款利用百度代码开发的应用收集了用户个人信息,并将这些信息回传给该公司,其中很多信息可以被轻松截取。

几个小时后,就有媒体报道百度做出了回应,百度称,报道存在不实信息和误解,百度在收到Citizen Lab实验室的通报后已于2015年12月完成修复,的版本已不存在该漏洞问题。

听起来不要太惊悚有没有?又是泄漏数据,又是收集个人用户信息,还影响了上千应用。就这样轻轻松松被百度解决了?可信吗?这些到底在说什么呢?近大公司数据安全、个人隐私泄漏的频发,但大家说说之后,总是被“公关回应,问题已经解决”而一笔带过了,还是让人放心不下啊。这次我们找到了Citizen Lab实验室的报告原文,来给大家掰吃掰吃“百度多款应用被曝加密简陋泄露用户数据,应用已被下载数亿次”到底是怎么一回事。

问题一:数据泄漏是怎么回事?

这篇报告质疑的是百度浏览器的安卓版和windows版,会发送未加密和能够轻松解密的个人用户数据给百度服务器,由于这些数据加密登记太低,所以很容易被破解导致泄露。

再来看看百度浏览器都调用了你哪些个人数据,安全等级如何:

所以,你可以知道,当你使用百度浏览器,你的系统、GPS定位信息,以及你在百度浏览器里搜索的任何记录和访问的址都是赤裸裸地传输,不受任何加密保护的,任何人想要获取这些信息都是唾手可得。

至于百度有没有权限去获取这些信息,你下载前,用户协议里就跟你说清楚了(当然你99.9%的情况是不会看的,百度浏览器的协议长到把手拖酸):以上提到的IMEI码、GPS定位、无线络地址、操作系统这些看起来没什么用的个人数据都是有所提及的。后面两项本来就是你在百度浏览器上生成的数据,不过谁想到都是不加密的呢。

而IMEI码和你访问的无线络的MAC地址,都是采用简单的加密手段,即很容易就能获取你的所在无线的地址以及的身份信息。这里轻微普及一下这份报告里定义的能被“轻松解密”加密方式和更加安全的加密方式。

Citizen Lab实验室的首席研究员杰弗里·诺克尔(Jeffrey Knockel)在周三发布正式报告前对路透社表示,这些被收集了很长时间的未加密数据包括用户地理位置信息、搜索词,

深八百度说修复了隐私漏洞但它是不是在偷你

以及站访问历史。这一问题彰显出,用户极难知晓自己的收集并传输了何种数据,同时也表明个人数据可能因为糟糕的加密或完全没有加密而被泄露的风险。这一问题还凸显出,可能有相当多的团体对这类数据感兴趣。哪些团体?给你推荐小广告的,维护国家安全的……

问题二:极为简陋的加密形式,简陋在哪?

数据加密的基本方式有两种:对称加密和非对称加密。

如上图,对称加密的优点在于比非对称加密快很多,但安全性低。因为对称加密的意思就是“加密”和“解密”两个动作的算法是晚期相同的,当你知道了加密的算法,就能非常轻松地扭转过来将其解密。而且这里的对称密钥过于简单。只要具备一定密钥编程的知识,这些字段可以容易地被解密,Citizen Lab直接在报告里提供了一个可用于解密百度密钥字段的python脚本的源代码。

与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密,反之亦然。由于私钥只能由一方安全保管,不能外泄,而公钥则可以发给任何请求它的人,因此安全性大大提高。

这两种加密形式各有利弊,如果你认为百度数据量过大,采用对称加密以提高效率情有可原。但是兼顾效率和安全性的方案其实早就有了:解决的办法是将对称加密的密钥使用非对称加密的公钥进行加密,然后发送出去,接收方使用私钥进行解密得到对称加密的密钥,然后双方可以使用对称加密来进行沟通。这就是大家常听到的SSL协议,是一种早已普遍使用的加密方式。

这也是为什么Citizen Lab职责百度浏览器的加密方式极为简陋(停留在好几十年前),并且怀疑其居心叵测。Citizen Lab的负责人德尔博特(Ron Deibert)表示:“这要么是极其蹩脚的设计,要么是设计用来监控。”

问题三:如何影响上千应用?以及,快看你里有中招的吗?

Citizen Lab实验室的首席研究员杰弗里·诺克尔(Jeffrey Knockel)在周三发布正式报告前对路透社表示,这些使用了其SDK的应用已经被下载了数亿次。

要知道,百度基于这些代码开发了一个软件开发工具包(SDK),不仅仅是供百度其他应用使用,还有大量的第三方应用。这个SDK被发布在百度统计,供第三方应用统计数据使用。

实验室通过其变种的SDK,在安卓()应用程序商店22548个应用中,发现了6672个应用程序用了这个SDK。

实验室还罗列出在Google Play商店里使用了该SDK的应用,但是由于使用其需要翻墙,Google Play并不是国内的主流应用商店,所以下面这些指名道姓的应用仅仅是一小部分。

任何app只要使用了百度这个SDK去统计数据,只要开启应用,就会把用户个人数据以“未加密或者能轻松解密的数据”发给百度服务器,这些数据包括了上文提到的的的IMEI号,当前GPS位置,以及附近的无线络。

同样,国内的同类SDK提供商有友盟、TalkingData等,该实验室则是分析了Google提供的SDK,谷歌禁止第三份应用上传任何,识别个人身份的数据(例如用户真实姓名、身份证号、邮箱地址或其他类似数据)和设备IMEI码等。

百度对路透社表示,公司对这些数据的兴趣完全是出于商业目的,但拒绝透露还有谁能访问这些信息。百度称,公司“只会在权威执法机关提出合法请求时才提供数据”。不过这里也没什么好谴责的,毕竟你在下载的时候,用户协议里都已经说明,只是他们没告诉你要用来干嘛,总之是为了“商业目的”……

问题四:百度解决了问题吗?

报告也附上了实验室和百度沟通的整改过程:

实验室在得出报告结论之后,于2015年11月26日正式向百度发邮件,通知他们报告中发现的结果,并表示不会早于此通知45天(1月10日)公布报告。百度当天也确认了邮件了收到通知。

2015年12月3日百度回应实验室“确认了所有的安全问题”,并表示他们“已经采取了相应的解决方案,需要至少三周来解决,并会在未来新版本更新中的修复所有漏洞。”

后来的几个月,百度多次要求推迟报告发布时间,用于解决安全漏洞,并于2月22日回馈已经全部解决。

Citizen Lab表示在今年2月23日发布报告时,向路透表示,去年11月提请百度注意后,百度已经修复了其中的一些漏洞,但是百度安卓浏览器仍然会发送诸如设备ID等敏感信息,而且加密形式极为简陋(仍是容易破解的对称加密)。新版本仍然会泄漏地址栏内容和敏感数据,在Citizen Lab的询问下,百度表示不会修复此问题。

安全问题频发,意识薄弱?还是有意为之?

近安全问题频频被报道,除了美国苹果和FBI的解锁之争以外,支付宝莫名调用用户相机,疑似泄漏用户信息也遭到了质疑;此前虎嗅也质疑过安卓版的在关闭定位权限后,仍能调用用户位置信息。

去年就该实验室还爆出UC浏览器存在同样的问题,这之后阿里也表示修复了这些漏洞。不过影响远远没有百度这么大,毕竟通过SDK影响了上千个应用。

至于这次曝出百度的泄漏,到底是“安全意识薄弱”的无心之失?还是有意为之?我们无从考证。但是国内互联大大小小公司们,对于个人隐私保护的“冷淡”,才是更值得我们反思警惕的。

不能因为安卓的开放,就胡来呀!

本文标签: