BaiduブラウザIMEI、場所、訪問URLを送信する、CPUのモデル番号:シチズンラボ

AndroidおよびWindows用のBaiduブラウザは、トロント大学の研究グループであるCitizen Labによって、大量のユーザーの個人データをサーバーに送り返していることが判明しました。

インドの反基本的な経済対策:Marc AndreessenはTwitterの騒動に悩まされている; LG PayはMWCでノーショーになる:Report; Singtelは純利益をSG $ 16M縮小する; FacebookはインドのFree Basicsプロジェクトを撤回する; Samsungは韓国の公共安全ネットワーク

Citizen Labは、Baidu BrowserのAndroid版がユーザーのGPS座標と最終更新時間、アドレスバーに入力された検索語、および任意の形式の暗号化なしで訪問されたURLを送信していることを報告した。また、ブラウザは、実装されていない暗号化方式の下で、MACアドレスと信号強度とともに、電話機固有のIMEI番号と近くの無線ネットワークを送信します。

ブラウザのAndroid版も、更新プログラムを探す際に中間者攻撃に脆弱であることが判明しましたが、この問題は後で修正されました。

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

シチズンラボは、同社のWindows版では、ブラウザがBaiduサーバにアドレスバーの検索条件を明示的に送信するだけでなく、簡単に破棄可能な暗号化方式を使用して、次のような個人情報を送信すると述べた。 、コントローラのバージョン番号、コンピュータのMACアドレス、ページタイトル、CPUモデル番号、ファイルシステムボリュームのシリアル番号などのアクセスされたURL。

Baidu Browserのセルフアップデータに対するman-in-the-middle攻撃のCitizen Labデモンストレーション

また、Windows版では、不安定に自身を更新する脆弱性が発見されましたが、ダウンロードされたファイルの署名が確認されます。

Baiduは、インターネット上で最も訪問されたサイトの1つであり、中国での検索を支配し、人工知能および世界的な乗り物共有サービスUberを含む他の技術分野に投資しています。

Baiduはシチズンラボ[PDF]の質問に応えて、収集するデータは「最先端のセキュリティを備えた」データセンターに保存されていると述べた。

Baiduは業界最高水準のセキュリティとユーザープライバシーを維持しながらデータを収集しようと努力している」と同氏は述べている。「Baidu自身の定められた利用規約と同様に適用される法律、ユーザーデータの

Baiduは時として、適用される法律、規則、およびポリシーに従って商業的な関係者と特定の重要でないユーザーデータを共有し、同社との関係の性質に基づいてこれを行うが、すべての個人データを厳重に保護する特定の機密データを第三者と共有することはありません」

同社は、なぜデータを収集するのか、そのセキュリティを強化していると繰り返し言い返して、その答えを明らかにしていない。

シチズン・ラボは、Baiduが発見した問題を解決するためにBaiduの発表を延期したが、アップデートがリリースされた後の分析では、アップデート手順の変更およびAndroidバージョンのスタートアップ時の個人情報の送信を除いてほとんど進展が見られなかったクリアではなくSSLを介して

Citizen Labによると、両方のバージョンのブラウザは機密データとアドレスバーの検索を漏らし続けている。

この問題は、Baidu SDKを使用した結果としてCitizen Labによって固定されました。人気のAndroidファイルエクスプローラアプリであるES File Explorerは、2014年末に匿名統計収集にSDKを使用することについての同様の懸念に直面したが、主張は根拠がないと述べた。

このSDKを統計情報やイベントの追跡に使用するアプリは、BaiduのAndroidブラウザが起動時に送信する暗号化されていない簡単かつ復号化可能な形式で、機密情報を含むBaiduのサーバにメッセージを送信します。 GPSの位置、および近くの無線ネットワークを提供している」とシチズン・ラボは分析した。

シチズンラボの上級研究員であるジェフリー・ノッケル氏は、声明で、ほとんどのユーザーはデータが送信されているということを知りません。

「これらの問題の程度と見つけやすさは、セキュリティ研究者が海外市場のソフトウェア企業とのより良い連携を必要としていることを示唆している」とノッケル氏は語った。

昨年、Baiduはアマゾン社と提携して中国のFire Tabletsにアプリをプレインストールしたが、今年は健康フォーラムが無免許の病院や医師を含む商業組織や人員に販売されたことで批判を浴びた。

Baiduは2014年、国際的なスーパーコンピュータの画像認識テストで不正行為を犯したことを謝罪し、このイベントに参加することを禁止されました。

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に安全でないとラベル付けを開始する

Hyperledgerプロジェクトはギャングバスターのように成長しています