Thứ Năm, 20 tháng 8, 2015

Uc Browser: Vấn đề an ninh và rủi ro bảo mật cao

Trong khi phương tiện truyền thông xuất bản một câu chuyện tài liệu về CSE, chúng ta có thể không xác định tích cực được những vẫn đề mà chúng tôi đã xác định trong UC Browser, được mô tả trong báo cáo của chúng tôi, tương tự hoặc giống những tham chiếu trong tài liệu CSE.

Các nhà nghiên cứu tại phòng thí nghiệm Citizen Lab đã phân tích các trình duyệt web di động phổ biến của UC Browser và phát hiện ra rằng nó có vật cản bởi một số vấn đề an ninh và sự riêng tư nghiêm trọng. Citizen Lab là một phòng thí nghiệm liên ngành dựa tại Đại học Toronto, tập trung vào nghiên cứu các công nghệ thông tin và truyền thông (ICT), nhân quyền, và các vấn đề an ninh toàn cầu. Các phòng thí nghiệm quyết định tiến hành một phân tích về UC Browser sau khi được liên lạc với các tổ chức truyền thông cho ý kiến về một tài liệu từ Truyền thông An ninh lập của Canada (CSE) năm 2012. Các tài liệu, tiết lộ bởi cựu nhà thầu NSA Edward Snowden, tiết lộ sự tồn tại của lỗ hổng bảo mật trong UC Browser.
Có một báo cáo thảo luận về vấn đề bảo mật và quyền riêng tư của UC Browser.
Báo cáo thảo luận làm thế nào dữ liệu nhạy cảm của người dùng, chẳng hạn như nhận dạng thiết bị, gần các điểm truy cập Wi-Fi, và thông tin dữ liệu tháp di động, cũng như các truy vấn tìm kiếm để các công cụ tìm kiếm Shenma.
Các phiên bản Trung Quốc cũng vĩnh viễn giữ lại lịch sử truy vấn DNS của người sử dụng đã được phát hiện sau khi các nhà nghiên cứu đã cố gắng để xóa thông tin cá nhân bằng cách sử dụng các ứng dụng được xây dựng trong thông tin cá nhân của chức năng xóa. Knó được kết nối với Internet thông qua kết nối dữ liệu di động của điện thoại, phần AMAP của trình duyệt di động, một công cụ lập bản đồ Alibaba, gửi người sử dụng và thiết bị định danh (IMSI, IMEI) và dữ liệu vị trí (dữ liệu tháp di động) một máy chủ từ xa. Umeng, một công cụ phân tích Alibaba, cũng gửi nhận dạng thiết bị (IMSI, IMEI, Android ID) đến một địa điểm từ xa.
Theo Citizen Lab, các dữ liệu AMAP được gửi đến máy chủ bằng cách sử dụng mã hóa dễ dàng phá vỡ, trong khi dữ liệu được gửi Umeng không có bất kỳ loại mã hóa.

Trong khi đó, đối với các phiên bản tiếng Anh của UC Browser cho Android, các nhà nghiên cứu cho biết họ đã không tìm thấy bất kỳ dữ liệu được truyền đi trong khi thiết bị đang nhàn dỗi, và họ đã không xác định bất kỳ vấn đề với dữ liệu lưu trữ. Vấn đề duy nhất là truy vấn tìm kiếm đã được gửi đến GoogleYahoo Ấn Độ mà không được mã hóa.
Phân tích của chúng tôi cho thấy rằng các sự cố rò rỉ thông tin trong các phiên bản tiếng Trung của ứng dụng có thể được sử dụng để theo dõi vị trí của người hoặc trong thời gian thực hoặc hồi tố. Hơn nữa, sự thất bại của ứng dụng để xóa các truy vấn DNS có nghĩa là các bên thứ ba truy cập vào bộ nhớ cache của ứng dụng có thể xác định những gì các trang web người dùng đã truy cập trước đó.
Ứng dụng này có hơn 500 triệu người sử dụng trên toàn thế giới. Citizen Lab đã phân tích tiếng Anh và tiếng Trung Quốc phiên bản của UC Browser cho Android và thấy rằng cả hai, đặc biệt là phiên bản Trung Quốc, bị rò rỉ thông tin.


Không có nhận xét nào:

Đăng nhận xét