Trong khi phương tiện truyền thông xuất bản một câu chuyện tài liệu về CSE,
chúng ta có thể không xác định tích cực được những vẫn đề mà chúng tôi đã xác định
trong UC Browser, được mô tả trong báo cáo của chúng tôi, tương tự hoặc giống
những tham chiếu trong tài liệu CSE.
Các nhà nghiên cứu tại phòng thí nghiệm Citizen Lab đã phân tích các trình
duyệt web di động phổ biến của UC Browser và phát hiện ra rằng nó có vật cản bởi
một số vấn đề an ninh và sự riêng tư nghiêm trọng. Citizen Lab là một phòng thí
nghiệm liên ngành dựa tại Đại học Toronto, tập trung vào nghiên cứu các công
nghệ thông tin và truyền thông (ICT), nhân quyền, và các vấn đề an ninh toàn cầu.
Các phòng thí nghiệm quyết định tiến hành một phân tích về UC Browser sau khi
được liên lạc với các tổ chức truyền thông cho ý kiến về một tài liệu từ Truyền
thông An ninh lập của Canada (CSE) năm 2012. Các tài liệu, tiết lộ bởi cựu nhà
thầu NSA Edward Snowden, tiết lộ sự tồn tại của lỗ hổng bảo mật trong UC
Browser.
Có một báo cáo thảo luận về vấn đề bảo mật và quyền riêng tư của UC
Browser.
Báo cáo thảo luận làm thế nào dữ liệu nhạy cảm của người dùng, chẳng hạn
như nhận dạng thiết bị, gần các điểm truy cập Wi-Fi, và thông tin dữ liệu tháp di
động, cũng như các truy vấn tìm kiếm để các công cụ tìm kiếm Shenma.
Các phiên bản Trung Quốc cũng vĩnh viễn giữ lại lịch sử truy vấn DNS của
người sử dụng đã được phát hiện sau khi các nhà nghiên cứu đã cố gắng để xóa
thông tin cá nhân bằng cách sử dụng các ứng dụng được xây dựng trong thông tin
cá nhân của chức năng xóa. Knó được kết nối với Internet thông qua kết nối dữ
liệu di động của điện thoại, phần AMAP của trình duyệt di động, một công cụ lập
bản đồ Alibaba, gửi người sử dụng và thiết bị định danh (IMSI, IMEI) và dữ liệu
vị trí (dữ liệu tháp di động) một máy chủ từ xa. Umeng, một công cụ phân tích
Alibaba, cũng gửi nhận dạng thiết bị (IMSI, IMEI, Android ID) đến một địa điểm
từ xa.
Theo Citizen Lab, các dữ liệu AMAP được gửi đến máy chủ bằng cách sử dụng
mã hóa dễ dàng phá vỡ, trong khi dữ liệu được gửi Umeng không có bất kỳ loại mã
hóa.
Trong khi đó, đối với các phiên bản tiếng Anh của UC Browser cho Android,
các nhà nghiên cứu cho biết họ đã không tìm thấy bất kỳ dữ liệu được truyền đi
trong khi thiết bị đang nhàn dỗi, và họ đã không xác định bất kỳ vấn đề với dữ
liệu lưu trữ. Vấn đề duy nhất là truy vấn tìm kiếm đã được gửi đến Google và
Yahoo Ấn Độ mà không được mã hóa.
Phân tích của chúng tôi cho thấy rằng các sự cố rò rỉ thông tin trong các
phiên bản tiếng Trung của ứng dụng có thể được sử dụng để theo dõi vị trí của
người hoặc trong thời gian thực hoặc hồi tố. Hơn nữa, sự thất bại của ứng dụng
để xóa các truy vấn DNS có nghĩa là các bên thứ ba truy cập vào bộ nhớ cache của
ứng dụng có thể xác định những gì các trang web người dùng đã truy cập trước
đó.
Ứng dụng này có hơn 500 triệu người sử dụng trên toàn thế giới. Citizen Lab
đã phân tích tiếng Anh và tiếng Trung Quốc phiên bản của UC Browser cho Android
và thấy rằng cả hai, đặc biệt là phiên bản Trung Quốc, bị rò rỉ thông tin.
Không có nhận xét nào:
Đăng nhận xét