多大实验室报告:UC浏览器收集用户数据也就算了,偏偏忘记加密
虎嗅注: 加拿大多伦多大学公民实验室的研究报告发现,UC浏览器的中英文两个版本均会将用户信息泄露给第三方,但是就安全和隐私方面考虑,中文版的UC浏览器更为严重。虽然在中国和印度政府有权利获得通信公司、移动网络厂商、网吧的流量数据,但是UC浏览器的这一问题很可能会被一些人非法利用。
本文 转载自 FreeBuf黑客与极客,原文标题《多伦多大学:UC浏览器收集并发送用户隐私数据分析报告》,内容有删减。
中文版UC浏览器会收集并发送用户的隐私数据,而英文版不会
UC浏览器是中国和印度地区最为流行的Web浏览器,也是全球第四大移动浏览器,仅次于chrome、Android浏览器和Safari浏览器,目前拥有超过5亿的用户群,目前覆盖了Android、iOS、windows phone、windows mobile等主流操作系统。UC公司成立于2004年,后被阿里巴巴合并,联合开发出了神马搜索引擎。
通过分析某些中文版UC浏览器和英文版UC浏览器(均为安卓版)的构架、移动网络数据和WiFi流量、数据的保留和删除功能,研究人员发现了一些较为严重的安全问题。报告指出,UC浏览器的个人验证信息和查询请求在传输过程中没有被加密,且即使清理了应用程序上的缓存,用户的隐私信息还是会保留在缓存里,第三方还是可以访问用户的数据。尤其是中文版的UC浏览器收集了这些信息之后并不能安全的传输。
中文版本UC浏览器测试结果如下表:
英文版的浏览器不会发送设备相关识别码和WiFi的MAC地址。
中文版UC浏览器在打开的前270秒内,它会通过HTTP与以下主机进行通信:
大部分通信都是发生在应用程序和 apilocate.amap.com之间。研究人员对二者之间的传输数据进行了分析,发现发送到apilocate.amap.com的数据中含有很多设备及其相关的标识符。设备标识符:IMSI、IMEI、和中文版UC浏览器相关的用户数据;移动网络塔信息:移动国家代码(MCC)、移动网络代码(MNC)、位置区域代码(LAC),移动网络塔ID和信号强度。通过这些信息完全可以识别出设备、设备使用者和设备的位置。
研究人员通过上述信息成功的定位到了实验室所在的位置。
阿里巴巴回复:已提高信息安全加密级别
实验室人员于2015年4月15将这一发现报告给了阿里巴巴和UCWeb,并说明了将会在4月29日或者之后公开这一发现。阿里巴巴于4月19日给予了回复,称公司安全工程师正在调查研究这一问题。研究人员于23日又向他们重申了要在29日之后公开问题详情,但是阿里巴巴和UC均未给予任何回复。
5月22日,在国外媒体报道阿里巴巴旗下UC浏览器存在信息传输加密安全风险之后,阿里巴巴对此回应称对安全问题高度重视,UC浏览器已在第一时间提高信息安全加密级别,不再存在报道中提及的风险。目前应用商店上的UC浏览器最新版本,相关信息已经改为安全级别更高的HTTPS加密方式传输。
在Freebuf极客与黑客的文章下,有用户评论指出:“修复了数据传输的风险”,说明数据的收集还是在继续⋯⋯