日前,在得州奥斯丁举行的互联网自由和开放通信研讨会FOCI 16会议上,加拿大多伦多大学公民实验室的研究人员讨论了中国三大巨头的浏览器——阿里巴巴的UC浏览器、腾讯的QQ浏览器和百度的浏览器——的隐私和安全问题。
这些浏览器在中国有着庞大的用户基数,其中UC浏览器是仅次于Chrome的第二大移动浏览器,用户数量数以亿计。
研究人员指出:
三大浏览器都被发现会收集和发送用户的隐私数据;都使用了不安全的方法传输这些数据;软件更新进程都存在漏洞;没有使用行业标准的安全数据传输方法,比如没有使用标准的 OpenSSL 协议,而是使用自制的协议。
这些结果显示,安全和隐私方面的缺陷不是每一家公司孤立的问题,而是反映了中国流行应用开发和安全的更广泛问题,比如市场竞争的压力,Google Play的缺席迫使开发商实现自己的更新机制而不是借助Google Play更新,以及中国企业 承担的监视和审查内容的义务。
公民实验室:中国BAT巨头Web浏览器隐私和安全问题。在奥斯丁举行的互联网自由和开放通信研讨会 FOCI 16会议上,加拿大多伦多大学公民实验室的研究人员总结了中国三大巨头的浏览器——阿里巴巴的 UC 浏览器、腾讯的 QQ 浏览器和百度的浏览器的隐私与安全问题。
1. 概述
在奥斯丁举行的互联网自由和开放通信研讨会 FOCI 16会议上,加拿大多伦多大学公民实验室的研究人员总结了中国三大巨头的浏览器——阿里巴巴的 UC 浏览器、腾讯的 QQ 浏览器和百度的浏览器的隐私与安全问题。
这些浏览器在中国有着庞大的用户基数,市场份额均位居前列,其安全性对广大用户而言影响深远。
中国的第三方浏览器市场在全球的地位不言而喻,特别是中国的“三巨头”科技公司,包括百度(B),阿里巴巴(A),腾讯(T),江湖人称“BAT”。这三家公司已分别发布了自己免费的浏览器,分别为百度浏览器,UC浏览器和QQ浏览器。所有的浏览器都是基于Chromium平台,这些浏览器提供一套Chrome和Safari等浏览器不具备的功能,包括产品组合绑定运营;内置洪流(built-in torrent)支持,鼠标手势(mouse gesture),以及压缩功能旨在减少移动数据使用量等。
这三个浏览器用户群庞大,尤其是在中国和整个亚洲。QQ浏览器和UC浏览器均跻身中国最常用的浏览器前五位,而百度浏览器在10名开外,位居22名。其中 UC 浏览器是仅次于 Chrome 的第二大移动浏览器,用户数量数以亿计。
但是,调查分析的主要结果如下:
这三大浏览器都会收集和传输非常大量的用户隐私数据,包括各种硬件识别码,位置数据以及用户网页浏览历史数据等;
三大浏览器都使用不安全的方法来传输这些数据,例如使用极易破解的对称式加密法,在没有任何加密措施的情况下传输用户隐私数据;
三大浏览器在软件更新进程都存在漏洞,每个浏览器至少有一个版本在软件更新进程中为攻击者留下可以执行任意代码的漏洞;
三大浏览器没有使用行业标准的安全数据传输方法,比如没有使用标准的 OpenSSL 协议,而是使用自制的协议。
这些结果显示安全和隐私方面的缺陷并不是每一家公司孤立的问题,而是反映了中国流行应用开发和安全的更广泛问题。尽管这些浏览器拥有海量用户群,尤其是在中国,但是信息安全研究界对应用安全的重视度还是有限的,而这种意识的缺失是非常病态的,因为众所周知,西方情报机构曾利用UC浏览器使用不安全的传输方法传输用户个人数据而成功获取用户信息,实施监视活动。因此,我们认为安全研究人员应该更多的关注那些拥有亿万用户群却缺乏外部监管的应用程序。
2. 研究背景
三大浏览器的开发企业是中国最大的三家科技公司,在中国在线搜索,社交媒体和电子商务领域占据重要地位。在谷歌浏览器脱离中国市场的情况下,百度搜索引擎始终占据主导地位, 2016年3月的报告显示,其市场份额达到70%,每月拥有6.6亿移动搜索用户。腾讯运营着两家世界最大的通信平台,QQ平台拥有8.53亿用户,微信拥有6.97亿月度活跃用户。阿里巴巴经营着中国最大的电子商务网站,包括淘宝和天猫,拥有超过3.67亿的活跃用户。
三大浏览器的准确市场占有率很难获取,但是通过研究我们发现,UC浏览器是目前最流行的,是中国,印度和印度尼西亚最流行的手机浏览器。此外,据估也是世界上第二大流行的手机浏览器。虽然一些报告估计QQ和百度浏览器在中国分别为第二和第三大流行的手机浏览器,但是也有人指出他们加在一起的市场份额还不到10%.
不安全传输用户隐私数据和应用程序中存在潜在的执行任意代码漏洞都不再是假想的担忧。根据“棱镜门”事件中爱德华·斯诺登泄露的文件显示,西方情报机构早在2012年就已经成功识别UC浏览器中的信息泄露漏洞,随后成功地利用漏洞设计了一个XKeyscore插件以窃取应用程序的用户数据,实施监控。
3. 技术分析
我们发现,无论是浏览器的哪个版本都存在收集用户个人信息(如硬件序列号等)的情况。大部分浏览器存在传输用户位置信息的情况,如GPS坐标或附近的WiFi网络,还有大多数浏览器会跟踪浏览网页的完整URL,即使是通过HTTPS最初检索的页面。
在谈到三大浏览器使用的加密的时候我们会用到“易破解”这个词语。当我们说加密术是“易破解”的时候,并不是说加密本身的算法是有缺陷或是不安全的(尽管有时候百度浏览器使用的算法的确是这样)。相反的,我们的意思是该算法使用不当,其使用的加密法是完全对称的,并且使用了硬编码密钥。由于用的是对称算法,所以任何分析浏览器使用的加密算法和硬编码的密钥的人都可以轻易破解它们加密的内容。
4. 国际版本
除了中文版本外,百度和UC浏览器也有国际版本提供。我们发现,这些版本也具有上述文章相似的漏洞。
5. 责任披露
我们已经通知三家公司其各自浏览器中存在的问题,并承诺延缓公布我们的研究结果45天。我们也将继续按照首次披露的顺序对该三家公司进行进一步研究,旨在进一步谈论我们的关注点以及他们提出的修复方案。目前根据我们得到的通知,这三个公司都已经发布了他们的浏览器更新版本,而根据我们的分析表明这些新版本也解决了一些问题,但不是我们所识别的全部安全问题。
6. 结论
在竞争激烈的高科技市场,每家公司都力争推陈出新,不断发布新产品推出新功能,加之缺乏外部审计,这种种诱因都使得产品自身的隐私和安全问题被忽视。
同时,这种强大的市场压力也促使这些企业不断的加强对用户数据的收集,而且这种压力并不是针对某一家web浏览器而是所有中国本土企业。所以面对不断增长的应用市场和日益严峻的隐私和安全现状,安全研究人员和开发企业都必须高度重视应用程序的安全性,在保护用户的隐私和安全的前提下提供更优质的服务。