多大实验室报告:UC浏览器收集用户数据也就算了,偏偏忘记了提高加密级别
2015-05-27 17:53

多大实验室报告:UC浏览器收集用户数据也就算了,偏偏忘记了提高加密级别

虎嗅注:加拿大多伦多大学公民实验室的研究报告发现,UC浏览器的中英文两个版本均会将用户信息泄露给第三方,但是就安全和隐私方面考虑,中文版的UC浏览器更为严重。虽然在中国和印度政府有权利获得通信公司、移动网络厂商、网吧的流量数据,但是UC浏览器的这一问题很可能会被一些人非法利用。


本文转载自 FreeBuf黑客与极客,原文标题《多伦多大学:UC浏览器收集并发送用户隐私数据分析报告》,内容有删减。


中文版UC浏览器会收集并发送用户的隐私数据,而英文版不会


UC浏览器是中国和印度地区最为流行的Web浏览器,也是全球第四大移动浏览器,仅次于chrome、Android浏览器和Safari浏览器,目前拥有超过5亿的用户群,目前覆盖了Android、iOS、windows phone、windows mobile等主流操作系统。UC公司成立于2004年,后被阿里巴巴合并,联合开发出了神马搜索引擎。


通过分析某些中文版UC浏览器和英文版UC浏览器(均为安卓版)的构架、移动网络数据和WiFi流量、数据的保留和删除功能,研究人员发现了一些较为严重的安全问题。报告指出,UC浏览器的个人验证信息和查询请求在传输过程中没有被加密,且即使清理了应用程序上的缓存,用户的隐私信息还是会保留在缓存里,第三方还是可以访问用户的数据。尤其是中文版的UC浏览器收集了这些信息之后并不能安全的传输。


中文版本UC浏览器测试结果如下表:


Screen shot 2015-05-27 at 5.42.05 PM.png英文版的浏览器不会发送设备相关识别码和WiFi的MAC地址。


中文版UC浏览器在打开的前270秒内,它会通过HTTP与以下主机进行通信:


Screen shot 2015-05-27 at 5.43.50 PM.png大部分通信都是发生在应用程序和 apilocate.amap.com之间。研究人员对二者之间的传输数据进行了分析,发现发送到apilocate.amap.com的数据中含有很多设备及其相关的标识符。设备标识符:IMSI、IMEI、和中文版UC浏览器相关的用户数据;移动网络塔信息:移动国家代码(MCC)、移动网络代码(MNC)、位置区域代码(LAC),移动网络塔ID和信号强度。通过这些信息完全可以识别出设备、设备使用者和设备的位置。


研究人员通过上述信息成功的定位到了实验室所在的位置。


Screen shot 2015-05-27 at 5.46.51 PM.png

阿里巴巴回复:已提高信息安全加密级别


实验室人员于2015年4月15将这一发现报告给了阿里巴巴和UCWeb,并说明了将会在4月29日或者之后公开这一发现。阿里巴巴于4月19日给予了回复,称公司安全工程师正在调查研究这一问题。研究人员于23日又向他们重申了要在29日之后公开问题详情,但是阿里巴巴和UC均未给予任何回复。


5月22日,在国外媒体报道阿里巴巴旗下UC浏览器存在信息传输加密安全风险之后,阿里巴巴对此回应称对安全问题高度重视,并对该报告表示认同。UC浏览器已在第一时间提高信息安全加密级别,不再存在报道中提及的风险。目前应用商店上的UC浏览器最新版本,相关信息已经改为安全级别更高的HTTPS加密方式传输。


在Freebuf极客与黑客的文章下,有用户评论指出:“修复了数据传输的风险”,说明数据的收集还是在继续⋯⋯


虎嗅尾注:BAT旗下的互联网产品普遍存在信息传输加密问题


阿里巴巴公关向虎嗅指出,这种情况在国内并非个案,目前国内大部分互联网公司均在信息传输加密上存在问题。据阿里巴巴提供的资料显示,针对文中提到的信息传输加密风险,有独立评测机构,对百度、腾讯、京东、阿里等互联网公司的应用进行测试,结果发现大多数应用普遍存在明文传输或加密级别不够等问题。

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在 虎嗅APP