Baidu Browser осуществляет сбор и передачу конфиденциальной информации пользователей в незашифрованном виде. Исследователи из канадской компании Citizen Lab узнали, что браузер абсолютно не обеспечивает защиту персональных данных.
Данный браузер принадлежит популярной в Китае поисковой системе Baidu. Согласно информации Citizen Lab, браузер осуществляет сбор и передачу на корпоративные серверы чрезвычайно большого объема информации, а шифровка данных слишком слаба или вовсе не осуществляется.
Версия Baidu Browser для Android-устройств передает сведения о местоположении пользователя и историю браузера в незашифрованном виде. С использованием слабого шифрования осуществляется передача идентификаторов ближайших точек доступа Wi-Fi, а также IMEI телефона.
Версия для Windows осуществляет передачу информации об истории браузера, серийном номере жесткого диска, MAC-адресах сети и модели видеокарты пользователя. Информация не шифруется, потому ее могут перехватить провайдеры, спецслужбы или операторы публичных Wi-Fi-точек.
Защита кода с использованием цифровой подписи не применяется в обоих версиях браузера. В ходе атаки типа man-in-the-middle хакеры могут внедрять в браузер под видом легитимного обновления произвольный код.
Представители Baidu сообщили исследователям Citizen Lab, что на конец текущего месяца запланирован релиз обновленной Android-версии браузера Baidu Browser, в которой будут использованы более надежные алгоритмы шифрования, а код браузера и обновлений будет иметь цифровую подпись. В мае выйдет аналогичное обновление для Windows-версии браузера.