「百度一下,你就被知道了」
路透社2月24日報導,加拿大「公民實驗室」研究人員發現,數千款利用百度代碼開發的應用收集了用戶個人信息,並將這些信息回傳給該公司,其中很多信息可以被輕鬆截取。
這一問題對百度移動端瀏覽器和應用(app),以及使用該工具包的其他公司造成影響,其中也包括百度的Windows瀏覽器。目前應用已被下載數億次。
「公民實驗室」的首席研究員諾克爾(Jeffrey Knockel)表示,這些被收集的未加密數據包括用戶地理位置信息、搜索詞,以及網站訪問歷史。
「公民實驗室」的負責人德爾博特(Ron Deibert)說:「這要麼是一個糟糕的設計,要麼就是這樣設計用來進行監控。」
「公民實驗室」還表示,在去年11月通知百度注意漏洞後,百度修正了部分問題,然而安卓瀏覽器仍然會發送諸如設備ID等敏感信息,而且加密形式極為簡陋。
報導說,去年,「公民實驗室」的研究人員也在阿里巴巴的UC瀏覽器發現類似問題,而阿里巴巴已經修復了這些漏洞。
上述消息被披露出來的幾個小時後,百度就此事做出回應。百度聲稱相關報導「存在不實信息和誤解」,還稱在去年收到「公民實驗室」的通報後,已完成修復,其最新版本不存在該漏洞。
百度軟體已多次爆出漏洞問題。去年11月,中國網路安全漏洞報告平台烏雲網披露,百度公司開發的一種軟體開發工具受到「蟲洞」(WormHole)漏洞的影響,允許駭客自遠端執行任意程式,因而形成安全問題。趨勢科技公司評估說,此一漏洞影響1.4萬款app(手機程式),波及上億台Android裝置。
今年1月,日本《讀賣新聞》報導,日本信息安全公司Trend Micro發現百度提供的安卓手機軟體「Simeji privacy lock」存在後門,通過後門可以操控手機,竊取手機的信息。
該公司呼籲安裝了該手機軟體的用戶即刻刪除。
2013年百度提供的可以用於手機和電腦的「Simeji日語輸入法」被日本的內閣官房情報安全中心指出存在後門,隱藏在輸入法中的程式通過後門把用戶情報向百度的服務器發送。
當時《日本經濟新聞》報導說,經過確認,文部科學省、外務省有7台電腦安裝了該輸入法。此事件在日本的中央省廳部門引起不小震動。