「百度一下,你就被知道了」
「百度一下,你就知道」是中國大陸最大搜索引擎百度最有名的廣告詞,但實際上是,「百度一下,你就被知道了」。
加拿大的研究顯示,百度開發的安卓軟件開發套件中存在漏洞,會使用戶信息安全受到威脅。
文 _ 劉曉真
路透社2月24日報導,加拿大「公民實驗室」研究人員發現,數千款利用百度代碼開發的應用程式蒐集了用戶個人信息,並將這些信息回傳給該公司,其中很多信息可以被輕鬆截取。
這一問題對百度移動端瀏覽器和應用程式(app),以及使用該工具的其他公司造成影響,其中也包括百度的Windows瀏覽器。目前應用程式已被下載數億次。
「公民實驗室」的首席研究員諾克爾(Jeffrey Knockel)表示,這些被蒐集的未加密數據包括:用戶地理位置信息、搜索詞,以及網站訪問歷史。
「公民實驗室」的負責人德爾博特(Ron Deibert)說:「這要麼是一個糟糕的設計,要麼就是設計來進行監控的。」
「公民實驗室」還表示,去年11月通知百度注意漏洞後,百度修正了部分問題,但安卓瀏覽器仍會發送諸如設備ID等敏感信息,而且加密形式極為簡陋。
報導說,去年,「公民實驗室」的研究人員也在阿里巴巴的UC瀏覽器發現類似問題,而阿里巴巴已經修復了這些漏洞。
上述消息被披露出來的幾個小時後,百度就此事做出回應。百度聲稱相關報導「存在不實信息和誤解」,還稱在去年收到「公民實驗室」的通報後,已完成修復,其最新版本不存在該漏洞。
百度軟件已多次爆出漏洞問題。去年11月,大陸網路安全漏洞報告平台烏雲網披露,百度公司開發的一種軟件開發工具受到「蟲洞」(Wormhole)漏洞的影響,允許駭客自遠端執行任意程式,因而形成安全問題。趨勢科技公司評估說,此一漏洞影響1.4萬款app(應用程式),波及上億台安卓裝置。
今年1月,日本《讀賣新聞》報導,日本信息安全公司Trend Micro發現百度提供的安卓手機軟件「Simeji privacy
lock」存在後門,通過後門可以操控手機,竊取手機的信息。該公司呼籲安裝該手機軟件的用戶即刻刪除。
2013年百度提供的可以用於手機和電腦的「Simeji日語輸入法」被日本的內閣官房情報安全中心指出存在後門,隱藏在輸入法中的程式通過後門把用戶情報向百度的服務器發送。
當時《日本經濟新聞》報導說,經過確認,文部科學省、外務省有7台電腦安裝了該輸入法。此事件在日本的中央省廳部門引起不小震動。◇
|