行业资讯 ev-ssl-news2

您现在所在的位置 首页 > 行业资讯 > UC浏览器存信息加密风险 阿里回应:已升级为HTTPS

UC浏览器存信息加密风险 阿里回应:已升级为HTTPS

5月22日上午消息,据国外媒体报道阿里巴巴旗下UC浏览器存在信息传输加密安全风险。阿里巴巴对此回应称对安全问题高度重视,UC浏览器已在第一时间提高信息安全加密级别,不再存在报道中提及的风险。目前应用商店上的UC浏览器最新版本,相关信息已经改为安全级别更高的HTTPS加密方式传输。

而该媒体援引加拿大公民实验室报告中提到的信息传输加密风险,在国内并非个案,目前国内大部分互联网公司,如百度、腾讯、阿里等均在信息传输加密上存在问题。今日有媒体对UC浏览器外之外的两大主流手机浏览器——腾讯手机QQ浏览器、百度手机浏览器等都进行了测试,均存在类似的问题。

比如在第三方地图SDK上,百度手机浏览器使用的百度地图SDK仅做简单加密,QQ手机浏览器使用的腾讯地图SDK则根本未加密;在手机浏览器使用的消息推送SDK进行分析,QQ浏览器在运行过程中将IMEI等设备信息明文传输到服务器。百度手机浏览器则对IMEI等信息只是做了倒序处理,基本没有加密作用;对手机QQ浏览器、手机百度浏览器以及其默认使用的搜狗搜索和百度搜索的搜索关键词传输的测试结果也发现搜索请求均采用了明文传输的方式。

uc-https01
如上图:腾讯地图SDK采用明文传输方式

 

uc-https02
如上图:百度手机浏览器对IMEI等信息只是做了倒序处理,基本没有加密作用

 

uc-https03
如图:手机QQ浏览器、手机百度浏览器以及其默认使用的搜狗搜索和百度搜索的搜索请求均采用了明文传输.

报告中指出的国内移动应用信息传输加密风险,是指中国主流的移动应用在使用一些第三方应用的SDK时,在涉及传输一些不敏感的地理信息及设备相关信息时,加密级别不够高,存在被攻破风险。国内应用针对非敏感类信息基本未使用非对称加密算法(HTTPS),而是使用对称加密算法进行数据传输,当SDK被人逆向分析就会导致密钥泄漏。国内的互联网厂商对于不涉及敏感信息的地理位置信息、设备信息等大多采用类似的传输加密方式。因此这一质疑也对中国互联网行业的移动应用信息传输加密通用标准提出了整体挑战。

目前,阿里巴巴公司已率先全面提升了信息安全加密级别,改用安全级别更高的HTTPS加密方式。

近年来,中国的IT和互联网公司大举走向海外,在一些领域做大之后,就会受到普遍敌视,尤其来自西方政府和媒体的偏见更加不可避免。此前、华为、中兴、联想都曾在欧美市场遭遇反倾销和隐私调查。