百度瀏覽器是微軟和安卓平臺上的一種網絡瀏覽器,個人用戶在向服務器傳輸數(shù)據(jù)時進行加密��,就算加密了也很容易被解密��。瀏覽器更新時可能很輕易地被中間攻擊者利用�����,執(zhí)行任意代碼。
安卓版本的百度瀏覽器傳輸?shù)膫人可識別數(shù)據(jù)��,包括用戶的GPS坐標�、搜索內容和訪問時的URL�����,這些內容都是沒有進行加密的���。不僅如此��,在傳輸用戶的IMEI和附近無線網絡列表時也只是使用了簡單����、易于破解的加密�����。
Windows版的百度瀏覽器在傳輸個人可識別數(shù)據(jù)點的時候也沒有進行加密�,或者是進行了簡單的加密。這些數(shù)據(jù)包括了用戶的搜索詞�、硬盤序列號模型、MAC網絡地址�、URL和訪問歷史,還有CPU型號。
無論是Windows版還是安卓版的百度���,都沒有使用代碼簽名來保護軟件更新��,提高其安全性�����,也就是說�����,更新路徑上隨便一個惡意攻擊者都可以讓該應用程序下載執(zhí)行任意代碼����,這是一個重大的安全風險�。
微軟版本的百度瀏覽器有一個功能:可以將一個請求轉向特定的網站,這就允許用戶可以訪問一些在中國被墻的網站����。
對百度的全球版本進行分析之后發(fā)現(xiàn),數(shù)據(jù)泄露是因為百度共享了它的軟件開發(fā)工具包(SDK)���,這影響了數(shù)百個由百度和谷歌應用商店的第三方共同開發(fā)的應用程序�,以及中國某個廣泛使用的應用商店里的數(shù)千個應用。
介紹
百度瀏覽器是由中國最大的科技公司百度公司開發(fā)的�����,向Windows和安卓平臺免費提供��。它提供的功能不僅僅是一般瀏覽器的功能��,包括了視頻音頻下載工具和內置的種子下載�����。
本篇報告針對百度瀏覽器在操作過程中是如何管理和傳輸用戶數(shù)據(jù)做出了詳細的分析�����。報告指出����,Windows和安卓版本的百度瀏覽器都有著一定的安全隱患��,都有可能泄露個人用戶數(shù)據(jù)���,包括用戶地理位置��、硬件標示符���、附近的無線網絡�、網頁瀏覽數(shù)據(jù)和搜索詞�����。這些數(shù)據(jù)的傳輸在兩種版本的瀏覽器中都沒有進行加密或是進行了簡單的加密��,這也就是說�,任何攻擊者都可以通過手機路徑并進行一定的解密手段來獲得此類數(shù)據(jù)。此外���,兩種版本的應用都沒有使用數(shù)字簽名來保護其軟件更新����,這就意味著惡意攻擊者可以讓瀏覽器下載并執(zhí)行任意代碼���。
這份報告是我們之前工作的延續(xù)�����,在此之前我們已經審查了在亞洲流行的移動應用程序的安全和隱私狀況�。我們之前的研究報告就發(fā)現(xiàn)UC瀏覽器有著類似的問題,這個瀏覽器是由中國電子商務巨頭阿里巴巴公司開發(fā)的���。那份報告記錄了UC瀏覽器對于用戶的敏感信息沒有進行加密傳輸���,這些信息包括了IMSI、IMEI�����、安卓ID�����、無線網絡MAC地址��、地理定位數(shù)據(jù)和用戶的搜索查詢����。UC瀏覽器的安全問題是在 Edward Snowden 泄露出來的文件中確定的�����,該組織是五眼情報聯(lián)盟�,包括了加拿大��、美國�����、英國��、澳大利亞和新西蘭的情報機構�,他們就是利用這些漏洞來識別用戶的���。
在過去的工作中����,我們已經分析了熱門的第三方軟件的自動更新機制����。我們發(fā)現(xiàn)攻擊者利用百度瀏覽器自動更新機制來進行遠程代碼執(zhí)行的漏洞和那些第三方軟件的漏洞很是相似。
此外����,我們也對TOM-Skype和新浪UC信息平臺的關鍵字審查進行了調查,不僅如此����,我們還對亞洲流行的手機聊天應用程序進行了比較分析���,比如微信、LINE和Kakao Talk��。
負責任的披露和通知
我們在2015年10月26日向百度通知了我們的發(fā)現(xiàn)和我們發(fā)表這份報告的意圖�。我們表示不會按照國際對于披露漏洞的慣例在刊登前45天通知。百度最初表示會在2016年1月24日發(fā)布的更新中解決我們所確定的問題�。然而百度發(fā)現(xiàn)這些安全問題已經影響了其他的產品,所以他們要求我們推遲到2016年2月14日之后再發(fā)表����。為了給百度足夠的時間來修復所有漏洞,我們同意了��。
在這之后��,百度表示他們會在2月14日發(fā)布Windows和安卓客戶端的更新版本�����。為了確定他們真的解決了問題��,我們對兩種更新版本進行了分析��。分析結果在報告結尾部分的“更新:對百度最新版本的分析”��。
我們在2月16日向百度的國際通信主任發(fā)送了一封關于百度瀏覽器安全隱私問題的電子郵件�����,22日我們收到了回復����。
在本報告的結尾附錄有我們和百度關于這些安全問題交涉的所有信件。
百度瀏覽器:簡單背景介紹
百度瀏覽器是由中國互聯(lián)網巨頭百度公司專為Windows和安卓系統(tǒng)研發(fā)的瀏覽器���。首次發(fā)布是在2011年�,主要基于谷歌Chromium��,它擁有大量功能��,包括集成的視頻音頻下載工具��、內置種子下載和鼠標手勢支持�。該瀏覽器是百度提供的許多服務之一,其他還有搜索引擎��、大規(guī)模的廣告平臺和百度百科(類似于維基百科)�。根據(jù)“中國互聯(lián)網觀察”的調查,到2015年,百度瀏覽器的網民滲透率達到了29.2%�。
作為中國占主導地位的高科技公司之一,加上沒有來自被屏蔽的谷歌搜索引擎的競爭壓力��,百度已經成為了中國最常用的搜索引擎�。在世界范圍網頁訪問量排名的Alexa名單上,百度排名第四��,在中國排名第一�。公司2014年的收入是79.6億美金。
2014年7月�,百度和互聯(lián)網流量管理公司CloudFlare建立了合作,該公司總部設在美國�。二者達成合作,利用百度公司的數(shù)據(jù)中心和CloudFlare的流量管理服務來提供中國網站的訪問速度���。這項服務被稱為百度云加速���,主要針對希望加快在中國效率低下、審查嚴苛的網絡中運行速度的企業(yè)���。本報告的第二部分將介紹了百度瀏覽器的另一個功能,即對境外特定網站的流量進行代理來提高性能�。
技術分析
我們使用逆向工程技術分析了兩種版本的百度瀏覽器。為了分析程序行為,我們使用了機器碼�、字節(jié)碼反匯編程序、反編譯器和調試器��,包括了JD�����、JADX和IDA�����。我們還使用了 tcpdump和Wireshark來捕獲分析網絡流量���。
分析分為三部分��。第一部分介紹了兩種版本的中文版百度瀏覽器是如何向百度服務器發(fā)送未加密或是易破解個人信息的����。第二部分描述了百度瀏覽器Windows中文版的一種特別功能�����,即對境外特定網站的流量進行代理來提高性能���。第三部分討論了中文版和全球版共有的漏洞��,以及有多少漏洞是因為百度軟件開發(fā)工具包的使用���,在其他百度或是第三方應用中都可以找到該工具包��。
“易破解”的加密
報告中���,在談到百度瀏覽器使用的加密的時候我們會用到“易破解”這個短語。在這里�����,我們來討論一下我們所說的這句話���,以及如何正確執(zhí)行百度瀏覽器的加密術���。
當我們說加密術是“易破解”的時候,并不是說加密本身的算法是有缺陷或是不安全的(盡管有時候百度瀏覽器使用的算法的確是這樣)�����。相反的����,我們的意思是該算法使用不當。顧名思義���,百度瀏覽器的分析師可以利用該算法編寫一個解密工具����。
