Citizenlab รายงานผลวิเคราะห์ UCBrowser: ส่งข้อมูลจำนวนมากโดยไม่เข้ารหัส หรือเข้ารหัสอย่างไม่ปลอดภัย

Citizenlab ออกรายงานวิเคราะห์ UCBrowser เบราว์เซอร์ที่ได้รับความนิยมเป็นอันดับสี่ของโลก โดยดาวน์โหลดจากสองแหล่งคือ เว็บ UCBrowser เอง และ Xiaomi App Store เมื่อตรวจสอบพบว่า UCBrowser ส่งข้อมูลกลับเซิร์ฟเวอร์เพื่อเก็บสถิติหลายอย่าง แต่กลับไม่มีกระบวนการเข้ารหัสที่ดี ทำให้แฮกเกอร์สามารถดักฟังและติดตามผู้ใช้เบราว์เซอร์นี้ได้โดยง่าย โดยมีประเด็นหลักๆ ดังนี้

• ส่งข้อมูล IMEI, IMSI, MAC, Android ID กลับไปยังเว็บ Umeng บริการนับสถิติของ Alibaba โดยไม่มีการเข้ารหัส
• ส่งพิกัดปัจจุบันกลับไปยังบริการแผนที่ AMAP โดยไม่มีการเข้ารหัส และยังส่งข้อมูลระบุตัวตนกลับไปยัง AMAP เข้ารหัสในแบบที่ถูกเจาะได้ง่าย
• เลือกใช้หน้าเว็บค้นหาแบบไม่เข้ารหัสเสมอ ไม่ว่าจะเป็นเวอร์ชั่นจีนที่ใช้บริการ Shen Ma และ Yahoo!/Google รุ่นไม่เข้ารหัสเสมอ
• ประวัติการค้นหา DNS ไม่สามารถลบได้

ทาง Citizenlab ติดต่อ Alibaba บริษัทแม่ของ UCWeb และตัว UCWeb เอง เพื่อแจ้งช่องโหว่เหล่านี้ก่อน ทาง Alibaba ตอบกลับระบุว่ากำลังตรวจสอบ ทาง UCWeb แก้ไขปัญหาไปบางส่วน โดยส่งข้อมูลกลับไปยัง Umeng แบบเข้ารหัสแล้ว ในเวอร์ชั่น 10.4.1-576

UCBrowser มีส่วนแบ่งตลาดเบราว์เซอร์บนสมาร์ทโฟนเป็นอันดับหนึ่งในตลาดจีนและอินเดีย

ที่มา - Citizenlab