Baidu web tarayıcılarının hassas bilgileri sızdırdığını söylüyor, araştırmacılar

Çinli arama devi Baidu tarafından geliştirilen iki web tarayıcısı, internette hassas verileri güvenli bir şekilde iletiyor ve yeni bir araştırmaya göre kullanıcıların gizliliğini riske atıyor.

Baidu, yazılım düzeltmeleri yayınlayarak yanıt verdi, ancak araştırmacılar tüm meselelerin çözülmediğini söyledi.

Çalışma Salı günü, University of Toronto'nun bir parçası olan Citizen Lab tarafından yayınlandı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

Baidu'nun tarayıcısının ücretsiz ürün olan Windows ve Android sürümlerine odaklandı. Ayrıca, hassas verilerin bir Baidu SDK'sı (yazılım geliştirme kiti) kullanan binlerce uygulama tarafından sızdırıldığını da buldu.

Tarayıcılarla Citizen Lab, bir kullanıcının arama terimlerini, GPS koordinatlarını, ziyaret edilen web sitelerinin adreslerini ve cihazın MAC adresini buldu. Raporda, "Medya Erişim Kontrolü" adresi, Baidu sunucularına SSL / TLS şifrelemesi kullanılmadan gönderilmiştir.

"Doğru şekilde uygulanan şifreleme olmadan kişisel verilerin iletilmesi, kullanıcının verilerini gözetime götürebilir." Dedi.

Diğer hassas bilgiler IMEI (International Mobile Station Equipment Identity) numaraları, yakındaki Wi-Fi ağları ve MAC adresleri ve sabit sürücü seri numaraları, kırılabilir zayıf şifreleme ile iletildi.

Ne Web tarayıcısı, dijital kod imzaları için kullanıldı. güncellemeler, yani saldırganlar kendi kodlarını yazmayı deneyebilirlerdi.

Çin hükümeti kesinlikle internet kullanımını kontrol ediyor ve Baidu'nun kullanıcı verilerini istihbarat ajanslarına ve yasalara aktarması gerekiyor. nforcement. Veri toplama, hükümet politikalarına karşı koyanlara karşı kullanılıp kullanılamayacağına dair sorular ortaya atıyor.

"İnternet şirketleri genellikle normal ve etkin hizmet sunumu için kişisel kullanıcı verilerini toplarken, Baidu Browser'ın neden böyle bir topladığı ve yayınladığı belli değil. hassas kullanıcı veri noktalarının geniş bir yelpazesi, "dedi.

Citizen Lab, Baidu'nun mobil analitik SDK'sını kullanan binlerce mobil uygulamanın da aynı hassas bilgiyi şirkete geri gönderdiğini buldu.

" Bunu kullanan herhangi bir uygulama İstatistik ve olay takibi için SDK, Baidu sunucularına mesaj gönderiyor, "dedi. Raporda.

Baidu yetkililerine yorum için hemen ulaşılamadı, ancak Citizen Lab bir soru yayınladı ve şirket sorularını yanıtladı.

Baidu Çin yasalarına göre tutulması gereken kullanıcı verilerinin ne olduğuyla ilgili bir soruya cevap vermiyor. Ayrıca, tarayıcıların Çin dışındaki web sitelerini ziyaret etmek için isteklerini neden bir vekil sunucudan geçirdiğini açıklayamadığını söyledi.

Ama Baidu, araştırmacıların bulgularına dayanarak güvenliği artırdığını söyledi. Örneğin, Android tarayıcısı tarafından iletilen verilerin, bu ayın sonuna kadar ve Windows tarayıcısı için Mayıs ayı başlarında tamamen şifreleneceğini söyledi.