ResearchApp Privacy and Controls

啰嗦的松鼠 UC浏览器的隐私与安全问题

Read this summary in English.

Translated by: Kun (Cleo) Zhang and Jason Q. Ng

摘要

UC浏览器是一种移动浏览器,它目前拥有超过5亿的注册用户,是中国和印度最受欢迎的手机浏览器。在《啰嗦的松鼠:UC浏览器的隐私与安全问题》这一报告中,公民实验室(Citizen Lab)发现中文和英文安卓版UC浏览器中存在多个隐私及安全漏洞, 并讨论了它们的重要性。

报告显示安卓版UC浏览器在保护数据方面表现欠佳。报告描述了中文版本在传输数据到其目的地的过程中,对用户的敏感数据保护不足,相关的敏感数据包括装置辨识符、临近无线网络(Wi-Fi)访问点、移动信号塔信息、以及发送给搜索引擎Shenma的搜索问题。 中文版的UC浏览器会永久记忆用户的DNS查询历史,即使是在用户使用应用自带功能删除个人信息后。

英文版的应用将搜索查询以不加密的形式发送给印度版雅虎或是谷歌;除此之外英文版本并不存在中文版应用中的信息泄露问题。

分析显示中文版应用中泄露的信息可以被用来实时或是事后跟踪当事人所在地。此外,使用者无法成功删除其DNS查询历史意味着,任何有能力的第三方都可以通过进入用户高速缓冲储存器来了解该用户之前的网页浏览历史。由于对搜索引擎的查询进行不加密的做法,不管是中文版还是英文版的应用,安全性都非常低。

UC浏览器的用户该怎么办?

在2015年4月15日,我们将研究发现披露给了阿里巴巴(提供UC浏览器的公司)并告知对方我们不会在2015年4月29日前公布我们的发现。该公司在4月19日回应了我们,表示阿里巴巴安全工程师正在调查这一问题。4月23日我们再次联系了对方公司,表达了将于4月29日发表我们研究的意图。

2015年5月19日, 我们测试了从uc.cn网站下载的10.4.1-576版中文UC浏览器。这一版本的浏览器跟报告中测试的版本(10.2.1_161版)有所区别,它并没有将定位数据在不加密的情况下传送给AMAP。然而,报告中反映的传输不加密数据至Umeng部分的问题,以及搜索功能缺乏加密保护的问题,并没有在这一版本中解决。中文版UC浏览器的用户应该升级他们的应用,确保使用的是10.4.1-576以上的版本。

我们分析中文版10.2.1_161,英文版10.4.1.565。不过,我们并没有对新版本的应用进行程序分析。若是用户想进一步了解关于解决我们报告中发现的问题,阿里巴巴是否有任何新的进展,我们建议大家直接联系阿里巴巴(security@service.alibaba.com)。

Note on Translation: This is an informal translation of the original report in English. This informal translation may contain inaccuracies. It is intended only to provide a basic understanding of our research. In the event of a discrepancy or ambiguity, the English version of this report prevails.