加拿大多倫多大學研究單位「公民實驗室」23日發布報告指出,Android及Windows版本的大陸百度瀏覽器和應用程式不但會蒐集並回傳用戶資料,且加密薄弱,容易成為駭客入侵竊取個資的對象。
百度瀏覽器和App傳送個資時防護不夠。(路透)
報告指出,Android版的百度瀏覽器會將用戶的GPS定位、上次登入時間、搜尋詞彙以及未加密的網址傳送回百度伺服器;瀏覽器也會傳送手機的行動通訊國際識別碼(IMEI)、用戶附近的無線網絡、網卡實體位址(MAC)甚至是訊號強度,且皆在加密程度薄弱的狀況下進行。
另外,Android版百度瀏覽器安全防護薄弱,容易遭到在網絡傳輸中攔截並竊取資料的「中間人攻擊」,不過這項缺失已經修正。
公民實驗室指出,Windows版本的百度程式也會將用戶網絡搜尋資料傳回伺服器,且在很容易破解的加密環境下傳送用戶各種資料,包括電腦硬碟型號和序號、控制器版本號碼、電腦網卡實體位址、造訪過的網址和網頁名稱、中央處理器(CPU)型號以及檔案系統磁碟區序號等。
Windows版本的百度在更新時安全性同樣薄弱,不過現在會檢查下載檔案的特徵碼。
百度回應表示,瀏覽器蒐集的資料儲存於「具國家等級安全性」的資料中心。他們強調,蒐集數據皆在業界最高標準的安全環境進行,確保用戶隱私,保證維護用戶資料安全;百度在法律範圍內和第三方分享部分資料,但不會外洩敏感的用戶個資。
不過百度的回應並未說明它為何蒐集這些資料,只強調會不斷強化安全性。公民實驗室延後發表報告,以給百度時間改善,但結果顯示進展不大。