添加時(shí)間:2016/2/29 10:59:34 編輯:奇億網(wǎng)站建設(shè)公司
百度瀏覽器是微軟和安卓平臺(tái)上的一種網(wǎng)絡(luò)瀏覽器,個(gè)人用戶(hù)在向服務(wù)器傳輸數(shù)據(jù)時(shí)進(jìn)行加密,就算加密了也很容易被解密。瀏覽器更新時(shí)可能很輕易地被中間攻擊者利用,執(zhí)行任意代碼。
安卓版本的百度瀏覽器傳輸?shù)膫(gè)人可識(shí)別數(shù)據(jù),包括用戶(hù)的GPS坐標(biāo)、搜索內(nèi)容和訪(fǎng)問(wèn)時(shí)的URL,這些內(nèi)容都是沒(méi)有進(jìn)行加密的。不僅如此,在傳輸用戶(hù)的IMEI和附近無(wú)線(xiàn)網(wǎng)絡(luò)列表時(shí)也只是使用了簡(jiǎn)單、易于破解的加密。
Windows版的百度瀏覽器在傳輸個(gè)人可識(shí)別數(shù)據(jù)點(diǎn)的時(shí)候也沒(méi)有進(jìn)行加密,或者是進(jìn)行了簡(jiǎn)單的加密。這些數(shù)據(jù)包括了用戶(hù)的搜索詞、硬盤(pán)序列號(hào)模型、MAC網(wǎng)絡(luò)地址、URL和訪(fǎng)問(wèn)歷史,還有CPU型號(hào)。
無(wú)論是Windows版還是安卓版的百度,都沒(méi)有使用代碼簽名來(lái)保護(hù)軟件更新,提高其安全性,也就是說(shuō),更新路徑上隨便一個(gè)惡意攻擊者都可以讓該應(yīng)用程序下載執(zhí)行任意代碼,這是一個(gè)重大的安全風(fēng)險(xiǎn)。
微軟版本的百度瀏覽器有一個(gè)功能:可以將一個(gè)請(qǐng)求轉(zhuǎn)向特定的網(wǎng)站,這就允許用戶(hù)可以訪(fǎng)問(wèn)一些在中國(guó)被墻的網(wǎng)站。
對(duì)百度的全球版本進(jìn)行分析之后發(fā)現(xiàn),數(shù)據(jù)泄露是因?yàn)榘俣裙蚕砹怂能浖_(kāi)發(fā)工具包(SDK),這影響了數(shù)百個(gè)由百度和谷歌應(yīng)用商店的第三方共同開(kāi)發(fā)的應(yīng)用程序,以及中國(guó)某個(gè)廣泛使用的應(yīng)用商店里的數(shù)千個(gè)應(yīng)用。
介紹
百度瀏覽器是由中國(guó)最大的科技公司百度公司開(kāi)發(fā)的,向Windows和安卓平臺(tái)免費(fèi)提供。它提供的功能不僅僅是一般瀏覽器的功能,包括了視頻音頻下載工具和內(nèi)置的種子下載。
本篇報(bào)告針對(duì)百度瀏覽器在操作過(guò)程中是如何管理和傳輸用戶(hù)數(shù)據(jù)做出了詳細(xì)的分析。報(bào)告指出,Windows和安卓版本的百度瀏覽器都有著一定的安全隱患,都有可能泄露個(gè)人用戶(hù)數(shù)據(jù),包括用戶(hù)地理位置、硬件標(biāo)示符、附近的無(wú)線(xiàn)網(wǎng)絡(luò)、網(wǎng)頁(yè)瀏覽數(shù)據(jù)和搜索詞。這些數(shù)據(jù)的傳輸在兩種版本的瀏覽器中都沒(méi)有進(jìn)行加密或是進(jìn)行了簡(jiǎn)單的加密,這也就是說(shuō),任何攻擊者都可以通過(guò)手機(jī)路徑并進(jìn)行一定的解密手段來(lái)獲得此類(lèi)數(shù)據(jù)。此外,兩種版本的應(yīng)用都沒(méi)有使用數(shù)字簽名來(lái)保護(hù)其軟件更新,這就意味著惡意攻擊者可以讓瀏覽器下載并執(zhí)行任意代碼。
這份報(bào)告是我們之前工作的延續(xù),在此之前我們已經(jīng)審查了在亞洲流行的移動(dòng)應(yīng)用程序的安全和隱私狀況。我們之前的研究報(bào)告就發(fā)現(xiàn)UC瀏覽器有著類(lèi)似的問(wèn)題,這個(gè)瀏覽器是由中國(guó)電子商務(wù)巨頭阿里巴巴公司開(kāi)發(fā)的。那份報(bào)告記錄了UC瀏覽器對(duì)于用戶(hù)的敏感信息沒(méi)有進(jìn)行加密傳輸,這些信息包括了IMSI、IMEI、安卓ID、無(wú)線(xiàn)網(wǎng)絡(luò)MAC地址、地理定位數(shù)據(jù)和用戶(hù)的搜索查詢(xún)。UC瀏覽器的安全問(wèn)題是在 Edward Snowden 泄露出來(lái)的文件中確定的,該組織是五眼情報(bào)聯(lián)盟,包括了加拿大、美國(guó)、英國(guó)、澳大利亞和新西蘭的情報(bào)機(jī)構(gòu),他們就是利用這些漏洞來(lái)識(shí)別用戶(hù)的。
在過(guò)去的工作中,我們已經(jīng)分析了熱門(mén)的第三方軟件的自動(dòng)更新機(jī)制。我們發(fā)現(xiàn)攻擊者利用百度瀏覽器自動(dòng)更新機(jī)制來(lái)進(jìn)行遠(yuǎn)程代碼執(zhí)行的漏洞和那些第三方軟件的漏洞很是相似。
此外,我們也對(duì)TOM-Skype和新浪UC信息平臺(tái)的關(guān)鍵字審查進(jìn)行了調(diào)查,不僅如此,我們還對(duì)亞洲流行的手機(jī)聊天應(yīng)用程序進(jìn)行了比較分析,比如微信、LINE和Kakao Talk。
負(fù)責(zé)任的披露和通知
我們?cè)?/span>2015年10月26日向百度通知了我們的發(fā)現(xiàn)和我們發(fā)表這份報(bào)告的意圖。我們表示不會(huì)按照國(guó)際對(duì)于披露漏洞的慣例在刊登前45天通知。百度最初表示會(huì)在2016年1月24日發(fā)布的更新中解決我們所確定的問(wèn)題。然而百度發(fā)現(xiàn)這些安全問(wèn)題已經(jīng)影響了其他的產(chǎn)品,所以他們要求我們推遲到2016年2月14日之后再發(fā)表。為了給百度足夠的時(shí)間來(lái)修復(fù)所有漏洞,我們同意了。
在這之后,百度表示他們會(huì)在2月14日發(fā)布Windows和安卓客戶(hù)端的更新版本。為了確定他們真的解決了問(wèn)題,我們對(duì)兩種更新版本進(jìn)行了分析。分析結(jié)果在報(bào)告結(jié)尾部分的“更新:對(duì)百度最新版本的分析”。
我們?cè)?/span>2月16日向百度的國(guó)際通信主任發(fā)送了一封關(guān)于百度瀏覽器安全隱私問(wèn)題的電子郵件,22日我們收到了回復(fù)。
在本報(bào)告的結(jié)尾附錄有我們和百度關(guān)于這些安全問(wèn)題交涉的所有信件。
百度瀏覽器:簡(jiǎn)單背景介紹
百度瀏覽器是由中國(guó)互聯(lián)網(wǎng)巨頭百度公司專(zhuān)為Windows和安卓系統(tǒng)研發(fā)的瀏覽器。首次發(fā)布是在2011年,主要基于谷歌Chromium,它擁有大量功能,包括集成的視頻音頻下載工具、內(nèi)置種子下載和鼠標(biāo)手勢(shì)支持。該瀏覽器是百度提供的許多服務(wù)之一,其他還有搜索引擎、大規(guī)模的廣告平臺(tái)和百度百科(類(lèi)似于維基百科)。根據(jù)“中國(guó)互聯(lián)網(wǎng)觀察”的調(diào)查,到2015年,百度瀏覽器的網(wǎng)民滲透率達(dá)到了29.2%。
作為中國(guó)占主導(dǎo)地位的高科技公司之一,加上沒(méi)有來(lái)自被屏蔽的谷歌搜索引擎的競(jìng)爭(zhēng)壓力,百度已經(jīng)成為了中國(guó)最常用的搜索引擎。在世界范圍網(wǎng)頁(yè)訪(fǎng)問(wèn)量排名的Alexa名單上,百度排名第四,在中國(guó)排名第一。公司2014年的收入是79.6億美金。
2014年7月,百度和互聯(lián)網(wǎng)流量管理公司CloudFlare建立了合作,該公司總部設(shè)在美國(guó)。二者達(dá)成合作,利用百度公司的數(shù)據(jù)中心和CloudFlare的流量管理服務(wù)來(lái)提供中國(guó)網(wǎng)站的訪(fǎng)問(wèn)速度。這項(xiàng)服務(wù)被稱(chēng)為百度云加速,主要針對(duì)希望加快在中國(guó)效率低下、審查嚴(yán)苛的網(wǎng)絡(luò)中運(yùn)行速度的企業(yè)。本報(bào)告的第二部分將介紹了百度瀏覽器的另一個(gè)功能,即對(duì)境外特定網(wǎng)站的流量進(jìn)行代理來(lái)提高性能。
技術(shù)分析
我們使用逆向工程技術(shù)分析了兩種版本的百度瀏覽器。為了分析程序行為,我們使用了機(jī)器碼、字節(jié)碼反匯編程序、反編譯器和調(diào)試器,包括了JD、JADX和IDA。我們還使用了 tcpdump和Wireshark來(lái)捕獲分析網(wǎng)絡(luò)流量。
分析分為三部分。第一部分介紹了兩種版本的中文版百度瀏覽器是如何向百度服務(wù)器發(fā)送未加密或是易破解個(gè)人信息的。第二部分描述了百度瀏覽器Windows中文版的一種特別功能,即對(duì)境外特定網(wǎng)站的流量進(jìn)行代理來(lái)提高性能。第三部分討論了中文版和全球版共有的漏洞,以及有多少漏洞是因?yàn)榘俣溶浖_(kāi)發(fā)工具包的使用,在其他百度或是第三方應(yīng)用中都可以找到該工具包。
“易破解”的加密
報(bào)告中,在談到百度瀏覽器使用的加密的時(shí)候我們會(huì)用到“易破解”這個(gè)短語(yǔ)。在這里,我們來(lái)討論一下我們所說(shuō)的這句話(huà),以及如何正確執(zhí)行百度瀏覽器的加密術(shù)。
當(dāng)我們說(shuō)加密術(shù)是“易破解”的時(shí)候,并不是說(shuō)加密本身的算法是有缺陷或是不安全的(盡管有時(shí)候百度瀏覽器使用的算法的確是這樣)。相反的,我們的意思是該算法使用不當(dāng)。顧名思義,百度瀏覽器的分析師可以利用該算法編寫(xiě)一個(gè)解密工具。