相關文章

3d5ae96dbf49f2d77901cf3d2e030813 加拿大的Citizen Lab最近發表了一篇研究報告,報告中指出中國的UC瀏覽器會洩露使用者的隱私資料。由於UC瀏覽器是在手機上相當多使用者使用的一款瀏覽器,並且於去年六月由阿里巴巴所收購,因此這個新聞也格外引人注意。

UC瀏覽器的安全問題

根據Citizen Lab的報告指出,UC瀏覽器的資訊傳輸方式,會產生使用者隱私洩露的危險。Citizen LabUC同時也在報告中指出,瀏覽器目前有五億多的使用者,主要使用者集中在中國以及印度。

Citizen Lab測試了UC瀏覽器的中文以及英文兩種版本,中英文版本在搜尋的時候,都會利用不加密的形式來送出搜尋的需求傳送到搜尋引擎,這些一樣會洩露出使用者部分的資訊。

另外還有許多是中文版獨有的問題,像是中文版UC瀏覽器對於使用者的資料,在傳輸的過程並未盡到保護的責任。這個「過程」指的是從手機發送訊息出去,經過Wi-Fi熱點或是4G基地台、中間經過的路由器等等路徑,整個完整的傳輸過程。由於中文版UC瀏覽器在資料的傳輸過程沒有加密處理,因此包括IMSI、IMEI、Android ID、Wi-Fi MAC address等這些可以辨識出使用者個人的重要資訊,都很容易在傳輸過程中被人竊聽然後擷取,很容易被有心人用來追蹤當事人的所在地點等資訊。至於英文版本,並沒有上述的問題。

中文版另外還有一個問題:它會永久記憶使用者的DNS查詢歷史,而且使用者無法自己刪除自己的DNS查詢歷史。這表示任何人只要有適當的技巧,都有機會追蹤該使用者之前瀏覽網頁的歷史紀錄。

Citizen Lab在報告中表示,中文版UC瀏覽器的安全防護極糟,只要安裝過這個中文版的使用者,就相當於直接暴露了大量的個人資訊給ISP及網路管理機構,甚至可以讓政府機構輕易監視UC瀏覽器的使用者行蹤。

阿里巴巴回應

根據阿里巴巴的回應,表示他們已經提高了UC瀏覽器的資訊安全加密等級,因此已經排除了Citizen Lab報告中安全風險的問題。

不過他們同時指出,Citizen Lab報告中指的中文版資料傳輸風險,指的是中國的行動應用程式使用一些協力廠商的SDK時,傳輸一些不敏感的地理資訊以及裝置資訊時,由於加密的等級不夠高,容易有被攻破的風險。在中國的廠商,對於非敏感的資訊傳輸時,往往會傾向不使用https來傳送資料,暗示這不僅是UC瀏覽器的問題,而是整個中國IT產業的問題。

 

NSA早知情?

不過,也就是在這兩天,也有網友從史諾登的洩密文件中發現,其實早在2011年,NSA早就知道UC瀏覽器存在有這樣的問題,而且還將這項漏洞拿來利用做為監視的工具。

根據Edward Snowden提供的NSA文件(PDF),NSA在2011年和2012年舉行了一系列研究會,目的是可以利用中間人攻擊的技術,趁著智慧手機使用者要去Google Play或是App Store下載應用程式的過程,植入間諜軟體藉以掌控受害者的手機。

▲NSA當初打算利用UC瀏覽器的這個漏洞,來作為情報收集之用。

 

資料來源:citizenlab

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則