研究人员指出,数千款利用百度代码开发的应用收集了用户个人信息,并将这些信息回传给该公司,其中很多信息可以被轻松截取。
这些应用已经被下载了数亿次。
加拿大Citizen Lab的研究人员发现,百度开发的一个安卓软件开发工具包存在问题。这些问题还影响到百度的手机浏览器,百度开发的其他应用,以及使用同款工具包开发的其他公司应用。研究人员称,百度的Windows浏览器也受影响。
同一拨研究人员去年指出,类似的问题也存在于阿里巴巴的UC浏览器中。这也是一款在全球最大互联网市场上被广泛使用的手机浏览器。
阿里巴巴修复了其中的漏洞,而百度则对路透社表示,公司将修复工具包中的加密漏洞,但仍将从商业用途出发收集数据。百度称其中一些数据会与第三方分享。百度称,公司“只会在权威执法机关提出合法请求时才提供数据”。
Citizen Lab实验室的首席研究员杰弗里·诺克尔(Jeffrey Knockel)在周三发布正式报告前对路透社表示,这些被收集了很长时间的未加密数据包括用户地理位置信息、搜索词,以及网站访问历史。
这一问题彰显出,用户极难知晓自己的手机收集并传输了何种数据,同时也表明个人数据可能因为糟糕的加密或完全没有加密而被泄露的风险。这一问题还凸显出,可能有相当多的团体对这类数据感兴趣。
Citizen Lab的负责人德尔博特(Ron Deibert)表示:“这要么是极其蹩脚的设计,要么是设计用来监控。”
Citizen Lab表示,自从去年11月提请百度注意后,该公司已经修复了其中的一些漏洞,但是百度安卓浏览器仍然会发送诸如设备ID等敏感信息,而且加密形式极为简陋。
百度对路透社表示,公司对这些数据的兴趣完全是出于商业目的,但拒绝透露还有谁能访问这些信息。
在美国,数据安全与隐私问题被长久关注。苹果公司目前正在与联邦调查局对峙,双方就是否要破解加州枪案iPhone一事展开了激烈争论。
Citizen Lab表示,去年对阿里巴巴UC浏览器的研究,是受到美国国安局“棱镜门”事件的启发。
阿里巴巴当时表示,没有证据证明用户数据被窃取,但公司通过升级浏览器的方法解决了这一问题。
研究人员称,无法评估百度事件影响的人群规模。
中国的一些软件开发商表示,加密缺失已经屡见不鲜,这部分是因为业务增长迅猛而且安全意识淡薄造成的。
安全网延伸阅读:铜掌柜系统出漏洞大量用户信息泄露
更多信息安全资讯,尽在佰佰安全网。
