中国三大浏览器均被指存安全隐患 其漏洞便于政府更大力度的监控
|【博闻社】在UC浏览器、百度浏览器之后,多伦多大学公民实验室发现另一个中国流行的QQ浏览器也存在隐私和安全隐患。
研究人员分析了QQ浏览器v6.3.01920 Android版和v9.2.5478 Windows版,使用tcpdump和Wireshark 捕捉和分析网络流量,发现QQ浏览器在将用户个人数据传输至服务器时,不经加密或只使用非常容易被破解的加密方式,其Android版收集的私人数据包括了IMEI、IMSI、附近的无线网络热点、历史搜索项目、网址浏览记录、以及Android ID;Windows版收集的数据包括用户的浏览历史、硬盘序列号、网络MAC地址以及处理器主机名。
研究人员特别列出了QQ浏览器使用的弱加密:浏览器使用了128比特位RSA公钥和相同的模数245406417573740884710047745869965023463进行加密,这个模数很容易因式分解,用Wolfram Alpha就可以,它是两个素数14119218591450688427和17381019776996486069之乘积,利用这两个素数,中间人很容易监视和解密流量。
公民实验室表示,中国三大浏览器均收集用户的历史搜索,与用户的确切地理位置有关的数据,以及智能手机与PC的唯一设备识别码。 这令人质疑中国应用存在的安全漏洞是否可能被政府或其他第三方用于更大力度的监控。
最令人不安的是用户通常没有意识到这些风险,没有意识到这类数据被收集并传输,可能也没有意识到恶意软件趁其应用升级时可以发动攻击,导致恶意代码安装在他们的设备上。
公民实验室称,中国政府要求互联网公司协助审查及追踪持不同政见人士的信息,但这些浏览器的漏洞可能会遭到非政府黑客的攻击。
公民实验室主管Ronald Deibert在接受采访时称,这些发现还引发了更大的疑问,即为什么要先收集并传输如此多的数据,这是一个不好的行为,尤其是在中国,因为政府可以获取这样的数据。