Jasper Yu => YSITD: 標題：百度SDK及瀏覽器恐導致用戶個資外洩，上千款App受累摘要：隸屬於多倫多大學的公民實驗室23日發表研究成果，指中國網路搜尋龍頭百度公司針對Android與Windows平台推出的百度瀏覽器存在安全風險。 Android版本會傳輸包括GPS座標、搜尋紀錄、網頁瀏覽紀錄等個資以明碼傳送至百度伺服器，並將使用者行動裝置的IMEI碼與所在位置附近的無線網路資訊，以極易破解的加密法加密後傳輸回百度。至於Windows版的百度瀏覽器，則在傳輸個資外，還會傳輸硬碟序號、MAC位址、CPU編號等更多資料，同樣以簡單的加密或完全不加密傳輸。此外，兩種版本的瀏覽器都未使用程式碼簽章來確保軟體升級時的安全性，讓攻擊者有機可乘，可能導致被動過手腳的軟體被用戶安裝後，讓駭客得以在裝置上執行任意程式碼。原始資料： http://www.news.utoronto.ca/citizen-lab-researchers-find-privacy-problems-popular-baidu-broswer 技術研究報告： https://citizenlab.org/2016/02/privacy-security-issues-baidu-browser/ #56cd61c325bcd6eb79e0c2c2

Jasper Yu says to YSITD

標題：百度SDK及瀏覽器恐導致用戶個資外洩，上千款App受累摘要：隸屬於多倫多大學的公民實驗室23日發表研究成果，指中國網路搜尋龍頭百度公司針對Android與Windows平台推出的百度瀏覽器存在安全風險。 Android版本會傳輸包括GPS座標、搜尋紀錄、網頁瀏覽紀錄等個資以明碼傳送至百度伺服器，並將使用者行動裝置的IMEI碼與所在位置附近的無線網路資訊，以極易破解的加密法加密後傳輸回百度。至於Windows版的百度瀏覽器，則在傳輸個資外，還會傳輸硬碟序號、MAC位址、CPU編號等更多資料，同樣以簡單的加密或完全不加密傳輸。此外，兩種版本的瀏覽器都未使用程式碼簽章來確保軟體升級時的安全性，讓攻擊者有機可乘，可能導致被動過手腳的軟體被用戶安裝後，讓駭客得以在裝置上執行任意程式碼。原始資料： http://www.news.utoronto.ca/citizen-lab-researchers-find-privacy-problems-popular-baidu-broswer 技術研究報告： https://citizenlab.org/2016/02/privacy-security-issues-baidu-browser/

at Wed, Feb 24, 2016 3:54 PM