虎嗅注:加拿大多倫多大學公民實驗室的研究報告發現,UC瀏覽器的中英文兩個版本均會將用戶資訊洩露給協力廠商,但是就安全和隱私方面考慮,中文版的UC瀏覽器更為嚴重。雖然在中國和印度政府有權利獲得通信公司、移動網絡廠商、網吧的流量數據,但是UC瀏覽器的這一問題很可能會被一些人非法利用

本文轉載自 FreeBuf駭客與極客,原文標題《多倫多大學:UC瀏覽器收集併發送用戶隱私數據分析報告》,內容有刪減

中文版UC瀏覽器會收集併發送用戶的隱私數據,而英文版不

UC瀏覽器是中國和印度地區最為流行的Web瀏覽器,也是全球第四大移動瀏覽器,僅次於chromeAndroid瀏覽器和Safari瀏覽器,目前擁有超過5億的用戶群,目前覆蓋了AndroidiOSwindows phonewindows mobile等主流操作系統。UC公司成立於2004年,後被阿里巴巴合併,聯合開發出了神馬搜尋引擎

通過分析某些中文版UC瀏覽器和英文版UC瀏覽器(均為安卓版)的構架、移動網絡數據和WiFi流量、數據的保留和刪除功能,研究人員發現了一些較為嚴重的安全問題。報告指出,UC瀏覽器的個人驗證信息和查詢請求在傳輸過程中沒有被加密,且即使清理了應用程式上的緩存,用戶的隱私信息還是會保留在緩存裡,協力廠商還是可以訪問用戶的數據。尤其是中文版的UC瀏覽器收集了這些資訊之後並不能安全的傳輸

中文版本UC瀏覽器測試結果如下表:

英文版的瀏覽器不會發送設備相關識別碼和WiFi的MAC地址。

中文版UC瀏覽器在打開的前270秒內,它會通過HTTP與以下主機進行通信:

大部分通信都是發生在應用程式和 apilocate.amap.com之間。研究人員對二者之間的傳輸數據進行了分析,發現發送到apilocate.amap.com的數據中含有很多設備及其相關的標識符。設備標識符:IMSIIMEI、和中文版UC瀏覽器相關的用戶數據;移動網絡塔信息:移動國家代碼(MCC)、移動網絡代碼(MNC)、位置區域代碼(LAC),移動網絡塔ID和信號強度。通過這些資訊完全可以識別出設備、設備使用者和設備的位置

研究人員通過上述資訊成功的定位到了實驗室所在的位置。

阿里巴巴回復:已提高資訊安全加密級

實驗室人員於2015415將這一發現報告給了阿里巴巴和UCWeb,並說明瞭將會在429日或者之後公開這一發現。阿里巴巴於419日給予了回復,稱公司安全工程師正在調查研究這一問題。研究人員於23日又向他們重申了要在29日之後公開問題詳情,但是阿里巴巴和UC均未給予任何回復

522日,在國外媒體報道阿里巴巴旗下UC瀏覽器存在資訊傳輸加密安全風險之後,阿里巴巴對此回應稱對安全問題高度重視,UC瀏覽器已在第一時間提高資訊安全加密級別,不再存在報道中提及的風險。目前應用商店上的UC瀏覽器最新版本,相關資訊已經改為安全級別更高的HTTPS加密方式傳輸

Freebuf極客與駭客的文章下,有用戶評論指出:「修復了數據傳輸的風險」,說明數據的收集還是在繼續⋯⋯

From Freebuf極客與駭客


 多大實驗室報告:UC瀏覽器收集用戶數據也就算了,偏偏忘記加密