百度Android开发者套件收集用户数据且存在安全漏洞 影响数千个移动应用
山外的鸭子哥 位于加拿大的Citizen Lab研究人员发现在由中国本土最大的搜索引擎百度旗下的Android软件开发套件存在安全隐私问题。
研究人员称已经有数千款移动应用程序运行着百度的代码,这些应用会收集用户的个人信息并发送至百度服务器。
在中国Android应用程序收集用户信息并上传至对应服务器甚至与其他厂商共享用户信息是一件非常常见的事。
然而在收集过程中开发商也并未做到严格加密机制,这样第三方可以通过这些代码中存在的漏洞直接截获这些应用收集到的用户信息。
去年五月份时棱镜门主角斯诺登曝光美国情报机构利用Google Play、三星应用商店向用户设备植入木马软件。
美国情报机构还发现并利用了阿里巴巴旗下的UC浏览器存在的漏洞收集用户信息,UC浏览器在中国和亚非地区拥有非常大的用户群。
UC浏览器也存在隐私方面的漏洞:一方面UC浏览器收集用户信息向其服务器上传,而另一方面由于该机制存在漏洞让美国情报人员可以直接截获UC浏览器上传的用户信息。
百度Android开发者套件此次存在的漏洞和UC浏览器存在的问题实际上是几乎一致的,去年Citizen Lab发现UC的问题并公布后阿里巴巴已经修复了该问题。
和阿里巴巴一样百度在收到Citizen Lab的消息后也已经修复了该问题,然而修复也只是修复了加密上的问题。
UC浏览器和运行着百度SDK代码的应用时至今日依然在不停的收集用户信息,继续向其服务器发送用户数据。
百度在采访时称该公司已经修复了SDK中存在的加密漏洞,不过百度仍然会继续收集用户数据并将这些数据用于商业目的,其中部分数据还会与第三方共享。
Citizen Lab的研究员透露百度SDK收录的这些未经加密的信息包括用户的地理位置、搜索关键词和网站访问记录等。
鸭子哥在与部分Android开发者讨论后认为Citizen Lab所称的百度SDK可能百度网盟移动版本的代码有关。
百度网盟是百度旗下的广告服务平台,在中国有几十万甚至上百万的网站及应用投放了百度网盟的广告。
而在移动应用上百度网盟所使用的代码应该就包含在Citizen Lab称的百度SDK中,这也是百度直截了当的回应继续收集的原因。
百度及其子产品均通过各种手段收集用户信息从而向用户投放更加精准的广告,例如在百度使用协议中百度已经称收集的用户信息会与合作伙伴分享用户信息来推送精准的广告:
如果上述SDK包含百度移动网盟的代码那么就不是“数千款”应用这个级别了,在你使用的APP中看到有百度标志的广告那么应该这款APP也会收集你的各种信息。
在这里也继续提醒Android用户在安装应用程序后使用权限配置功能将无必要的权限全部禁止掉。
例如某款手电筒APP需要开启WiFi、开启移动数据、开启GPS定位、开启蓝牙、读取短信、读取联系人等等权限均非其必要权限。
用户应该果断全部禁止掉这些乱七八糟且并无用处的权限确保自身信息的安全。
(*部分信息引用自新浪科技,其他内容为本站原创)
