月光博客 » 业界动态 » BAT浏览器的隐私和安全问题

BAT浏览器的隐私和安全问题

  日前,在得州奥斯丁举行的互联网自由和开放通信研讨会FOCI 16会议上,加拿大多伦多大学公民实验室的研究人员讨论了中国三大巨头的浏览器——阿里巴巴的UC浏览器、腾讯的QQ浏览器和百度的浏览器——的隐私和安全问题。

  这些浏览器在中国有着庞大的用户基数,其中UC浏览器是仅次于Chrome的第二大移动浏览器,用户数量数以亿计。

  研究人员指出:

  三大浏览器都被发现会收集和发送用户的隐私数据;都使用了不安全的方法传输这些数据;软件更新进程都存在漏洞;没有使用行业标准的安全数据传输方法,比如没有使用标准的 OpenSSL 协议,而是使用自制的协议。

  这些结果显示,安全和隐私方面的缺陷不是每一家公司孤立的问题,而是反映了中国流行应用开发和安全的更广泛问题,比如市场竞争的压力,Google Play的缺席迫使开发商实现自己的更新机制而不是借助Google Play更新,以及中国企业 承担的监视和审查内容的义务。

  公民实验室:中国BAT巨头Web浏览器隐私和安全问题。在奥斯丁举行的互联网自由和开放通信研讨会 FOCI 16会议上,加拿大多伦多大学公民实验室的研究人员总结了中国三大巨头的浏览器——阿里巴巴的 UC 浏览器、腾讯的 QQ 浏览器和百度的浏览器的隐私与安全问题。

  1. 概述

  在奥斯丁举行的互联网自由和开放通信研讨会 FOCI 16会议上,加拿大多伦多大学公民实验室的研究人员总结了中国三大巨头的浏览器——阿里巴巴的 UC 浏览器、腾讯的 QQ 浏览器和百度的浏览器的隐私与安全问题。

  这些浏览器在中国有着庞大的用户基数,市场份额均位居前列,其安全性对广大用户而言影响深远。

  中国的第三方浏览器市场在全球的地位不言而喻,特别是中国的“三巨头”科技公司,包括百度(B),阿里巴巴(A),腾讯(T),江湖人称“BAT”。这三家公司已分别发布了自己免费的浏览器,分别为百度浏览器,UC浏览器和QQ浏览器。所有的浏览器都是基于Chromium平台,这些浏览器提供一套Chrome和Safari等浏览器不具备的功能,包括产品组合绑定运营;内置洪流(built-in torrent)支持,鼠标手势(mouse gesture),以及压缩功能旨在减少移动数据使用量等。

  这三个浏览器用户群庞大,尤其是在中国和整个亚洲。QQ浏览器和UC浏览器均跻身中国最常用的浏览器前五位,而百度浏览器在10名开外,位居22名。其中 UC 浏览器是仅次于 Chrome 的第二大移动浏览器,用户数量数以亿计。

  但是,调查分析的主要结果如下:

  这三大浏览器都会收集和传输非常大量的用户隐私数据,包括各种硬件识别码,位置数据以及用户网页浏览历史数据等;

  三大浏览器都使用不安全的方法来传输这些数据,例如使用极易破解的对称式加密法,在没有任何加密措施的情况下传输用户隐私数据;

  三大浏览器在软件更新进程都存在漏洞,每个浏览器至少有一个版本在软件更新进程中为攻击者留下可以执行任意代码的漏洞;

  三大浏览器没有使用行业标准的安全数据传输方法,比如没有使用标准的 OpenSSL 协议,而是使用自制的协议。

  这些结果显示安全和隐私方面的缺陷并不是每一家公司孤立的问题,而是反映了中国流行应用开发和安全的更广泛问题。尽管这些浏览器拥有海量用户群,尤其是在中国,但是信息安全研究界对应用安全的重视度还是有限的,而这种意识的缺失是非常病态的,因为众所周知,西方情报机构曾利用UC浏览器使用不安全的传输方法传输用户个人数据而成功获取用户信息,实施监视活动。因此,我们认为安全研究人员应该更多的关注那些拥有亿万用户群却缺乏外部监管的应用程序。

  2. 研究背景

  三大浏览器的开发企业是中国最大的三家科技公司,在中国在线搜索,社交媒体和电子商务领域占据重要地位。在谷歌浏览器脱离中国市场的情况下,百度搜索引擎始终占据主导地位, 2016年3月的报告显示,其市场份额达到70%,每月拥有6.6亿移动搜索用户。腾讯运营着两家世界最大的通信平台,QQ平台拥有8.53亿用户,微信拥有6.97亿月度活跃用户。阿里巴巴经营着中国最大的电子商务网站,包括淘宝和天猫,拥有超过3.67亿的活跃用户。

  三大浏览器的准确市场占有率很难获取,但是通过研究我们发现,UC浏览器是目前最流行的,是中国,印度和印度尼西亚最流行的手机浏览器。此外,据估也是世界上第二大流行的手机浏览器。虽然一些报告估计QQ和百度浏览器在中国分别为第二和第三大流行的手机浏览器,但是也有人指出他们加在一起的市场份额还不到10%.

  不安全传输用户隐私数据和应用程序中存在潜在的执行任意代码漏洞都不再是假想的担忧。根据“棱镜门”事件中爱德华·斯诺登泄露的文件显示,西方情报机构早在2012年就已经成功识别UC浏览器中的信息泄露漏洞,随后成功地利用漏洞设计了一个XKeyscore插件以窃取应用程序的用户数据,实施监控。

  3. 技术分析

  我们发现,无论是浏览器的哪个版本都存在收集用户个人信息(如硬件序列号等)的情况。大部分浏览器存在传输用户位置信息的情况,如GPS坐标或附近的WiFi网络,还有大多数浏览器会跟踪浏览网页的完整URL,即使是通过HTTPS最初检索的页面。

  在谈到三大浏览器使用的加密的时候我们会用到“易破解”这个词语。当我们说加密术是“易破解”的时候,并不是说加密本身的算法是有缺陷或是不安全的(尽管有时候百度浏览器使用的算法的确是这样)。相反的,我们的意思是该算法使用不当,其使用的加密法是完全对称的,并且使用了硬编码密钥。由于用的是对称算法,所以任何分析浏览器使用的加密算法和硬编码的密钥的人都可以轻易破解它们加密的内容。

  4. 国际版本

  除了中文版本外,百度和UC浏览器也有国际版本提供。我们发现,这些版本也具有上述文章相似的漏洞。

  5. 责任披露

  我们已经通知三家公司其各自浏览器中存在的问题,并承诺延缓公布我们的研究结果45天。我们也将继续按照首次披露的顺序对该三家公司进行进一步研究,旨在进一步谈论我们的关注点以及他们提出的修复方案。目前根据我们得到的通知,这三个公司都已经发布了他们的浏览器更新版本,而根据我们的分析表明这些新版本也解决了一些问题,但不是我们所识别的全部安全问题。

  6. 结论

  在竞争激烈的高科技市场,每家公司都力争推陈出新,不断发布新产品推出新功能,加之缺乏外部审计,这种种诱因都使得产品自身的隐私和安全问题被忽视。

  同时,这种强大的市场压力也促使这些企业不断的加强对用户数据的收集,而且这种压力并不是针对某一家web浏览器而是所有中国本土企业。所以面对不断增长的应用市场和日益严峻的隐私和安全现状,安全研究人员和开发企业都必须高度重视应用程序的安全性,在保护用户的隐私和安全的前提下提供更优质的服务。

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    一桅帆   说道:
    还好,这三家都没有在用,也不打算会用
    支持(1反对(0回复
  1. 2
    传统纯粹   说道:
    本来一直用Opera,传出要被收购,然后果断不用了
    支持(1反对(0回复
  1. 3
    某泫   说道:
    chrome赛高
    支持(0反对(0回复
  1. 4
    赵子墨   说道:
    流氓那懂得尊重隐私
    支持(0反对(0回复
  1. 5
    哪里留的住我   说道:
    还有一个墙 说个毛啊
    支持(0反对(0回复
  1. 6
    古月臣巳灬   说道:
    试用过,但是不敢用
    支持(0反对(0回复
  1. 7
    血淋嗒滴的正能量   说道:
    竟然没有360
    支持(0反对(0回复
  1. 8
    Mr_lau堅   说道:
    我看的AV有危险!
    支持(0反对(0回复
  1. 9
    永乐_游戏人生   说道:
    三个垃圾都不用,直接炒肉多好
    支持(0反对(0回复
  1. 10
    --Chee--   说道:
    ie chrome opera safari 只用过这些
    支持(0反对(0回复
  1. 11
    奶茶会的硬币   说道:
    没把这些当作游览器
    支持(0反对(0回复
  1. 12
    膜蛤默德Max   说道:
    国外的研究人员不懂国情。
    支持(0反对(0回复
  1. 13
    新堂游人   说道:
    免费,也总是要付出代价的。何况我国互联网那些所谓的免费大餐通常即不好吃,又没营养,还难消化。
    支持(0反对(0回复
  1. 14
    神奕Bryant   说道:
    一直用chrome…
    支持(0反对(0回复
  1. 15
    gryphus   说道:
    一直都在用Firefox...
    支持(0反对(0回复
  1. 16
    游方的蒙奇   说道:
    主力Firefox,辅助输出Chrome,IE用来处理极少数愚蠢程序员写出来的网站
    支持(0反对(0回复
  1. 17
    浅色的猪   说道:
    我用chrome
    支持(0反对(0回复
  1. 18
    海天一色的蓝   说道:
    一般情况下只用Chrome,没办法时用IE。
    支持(0反对(0回复
  1. 19
    稀小饭君   说道:
    已经不用了,用自带的edge
    支持(0反对(0回复
  1. 20
    syybbz   说道:
    店大欺客无人管
    支持(0反对(0回复
  1. 21
    龙井LongNation   说道:
    这个研究人员是360的吧?
    支持(0反对(0回复
  1. 22
    千山暮雪一成江   说道:
    然而并不用他们中的任何一个🙃 目前在用星尘
    支持(0反对(0回复
  1. 23
    小叶和寒林   说道:
    流氓APP不是随便说说的,是真有这实力的!
    支持(0反对(0回复
  1. 24
    KuKaKuLa-家庭植物园   说道:
    我一个都没有安装过。
    支持(0反对(0回复
  1. 25
    赵伯伯   说道:
    胆多大啊,敢用这些浏览器
    支持(0反对(0回复
  1. 26
    大虫-葛雷乔伊   说道:
    Chrome用了好些年了,看见广告推荐安装这些歌浏览器的,统统打死
    支持(0反对(0回复
  1. 27
    一指飞花   说道:
    我觉得使用自制的安全协议,目的就是更安全吧?
    支持(0反对(0回复
  1. 28
    我家小丫儿   说道:
    那是因为Google没回来,他们的祖宗回来以后 他们就不敢闹屁了!
    支持(0反对(0回复
  1. 29
    全面掠水   说道:
    尽量不要用国产货
    支持(0反对(0回复
  1. 30
    hoola   说道:
    为了安全,远离国产软件。
    支持(0反对(0回复
  1. 31
    saturnman   说道:
    下载火狐和chrome也不要在国内一些下载站点下载
    支持(0反对(0回复
  1. 32
    小虾米lining   说道:
    我是说,这三个都是腊鸡。
    支持(0反对(0回复
  1. 33
    穿山癸   说道:
    BAT的浏览器,一个都不要用。
    支持(0反对(0回复
  1. 34
    ketsu69   说道:
    反正我不用什么UC,统统都是chrome...
    支持(0反对(0回复
  1. 35
    三分钟热度的大齐   说道:
    手机用UC,能看片。
    支持(0反对(0回复
  1. 36
    陕西企尚网络   说道:
    一家都没有使用过
    支持(0反对(0回复
  1. 国产软件有哪个不收集用户隐私的
    支持(0反对(0回复
  1. 38
    李狗维   说道:
    chrome最安全了,账户同步咱不帮一把它都干着急
    支持(0反对(0回复
  1. 39
    李狗维   说道:
    uc被阿里彻底搞完以后试了一圈浏览器最后就用它了,标签切换和刷新很方便,唯一缺点是老wap页链接竟然还有下划线
    支持(0反对(0回复
  1. 刚把uc删除了,初始化之后再用的时候提示要很多权限,还要拨打电话的权限,拒绝的话就无法使用,不让用那就不用你就是了!微博也一样的,发完这一条,马上微博也删了!
    支持(0反对(0回复
  1. 41
    桌前的大左   说道:
    安全恐怕还不是大多数人考虑的问题
    支持(0反对(0回复
  1. 42
    麦兜echoo   说道:
    谷歌那个破玩意浏览器用起来没国内的人性化 这是没办法的事情 你弄个标签打开都麻烦 还用啥用
    支持(0反对(0回复
  1. 43
    niqingliang2003   说道:
    只用chromium
    支持(0反对(0回复
  1. 44
    泰器山鱼   说道:
    中国的互联网软件大多如此,没什么可说的,毫无道德可言!
    支持(0反对(1回复
  1. 45
    Rick_Chiu   说道:
    魅族自带的很好用
    支持(0反对(1回复
  1. 46
    BLACPS   说道:
    这很互联网公司
    支持(0反对(1回复
  1. Chrome 52了
    支持(0反对(1回复
  1. 48
    詹先生_ZZX   说道:
    国内用户量最大的浏览器其实是360浏览器,不过看来360良心了。
    支持(0反对(1回复
  1. 49
    自由快挂   说道:
    什么是行业标准
    支持(0反对(1回复

发表留言