Ο Baidu Web browser για τα Windows και το Android επιδεικνύει συμπεριφορά που θα μπορούσε εύκολα να επιτρέψει σε έναν ερευνητή ασφάλειας για να τον ταξινομήσει ως έναν infostealer ιό, διότι συλλέγει πληροφορίες για τους χρήστες του και στη συνέχεια τις στέλνει στους home servers του Βaidu.
Ο Βaidu Browser είναι ο κινεζικός κλώνος του Google Chrome, με τον Baidu να είναι μια εταιρεία Web αναζήτησης στην Κίνα, ακριβώς όπως το Google, και ο browser ένα spin-off από το Chromium project, ακριβώς όπως το Google Chrome.
Σύμφωνα με τους ερευνητές του Citizen Lab, ο browser δραστηριοποιείται στην τώρα-υποχρεωτική συνήθεια της συλλογής στοιχείων του χρήστη, πράγμα το οποίο πολλά λογισμικά και Web-based υπηρεσίες κάνουν, “εξυπηρετώντας σκοπούς ανάλυσης.”
Το πρόβλημα είναι ότι το πρόγραμμα περιήγησης Βaidu συλλέγει και στη συνέχεια στέλνει τις πληροφορίες αυτές μέσω μη κρυπτογραφημένων ή εύκολα αποκρυπτογραφούμενων συνδέσεων.
Κατά τη διάρκεια ελέγχων, οι ερευνητές λένε ότι η έκδοση του Android συλλέγει δεδομένα σχετικά με το λειτουργικό σύστημα του χρήστη, το IMEI (International Mobile Station Equipment Identity) του τηλεφώνου, το ιστορικό περιήγησης, τους όρους αναζήτησης ιστορικού, τις τελευταίες συντεταγμένες GPS του τηλεφώνου, τα κοντινά ασύρματα δίκτυα και τις τοπικές Macs.
Από την άλλη πλευρά, η έκδοση των Windows συλλέγει επίσης στοιχεία, όπως το ιστορικό αναζήτησης του χρήστη, το ιστορικό περιήγησης, τη διεύθυνση MAC, το μοντέλο της CPU, το μοντέλο του σκληρού δίσκου και τον σειριακό αριθμό και την έκδοση του αριθμού συστήματος αρχείων.
Το πρόγραμμα περιήγησης συλλέγει και στέλνει τις πληροφορίες αυτές κατά την εκκίνηση, όταν ο χρήστης ξεκινά την πληκτρολόγηση του περιεχομένου στη γραμμή διευθύνσεών του και σε κάθε προβολή σελίδας.
Προφανώς, πρόκειται για μια εισβολή στην ιδιωτική ζωή του χρήστη και αφορά κάτι που δεν θα περίμενε κανείς να συλλέγει ο browser του. Αυτή η ίδια η συμπεριφορά συχνά συναντάται σε infostealer (information stealer) κακόβουλο λογισμικό που συνήθως αναπτύσσεται για τη συλλογή πληροφοριών σχετικά με τους στόχους πριν από την ανάπτυξη πιο πολύπλοκων απειλών όπως ransomware, Bitcoin miners, spyware ή τραπεζικά trojans.
Οι ερευνητές του Citizen Lab περιόρισαν τα προβλήματα διαρροής πληροφοριών σε ένα κοινό SDK, Baidu Mobile Tongji (Analytics) SDK, που χρησιμοποιείται τόσο για τις εκδόσεις του Android όσο και των Windows.
Μαζί με την εταιρεία ασφαλείας κινητών, Lookout, οι ερευνητές εντόπισαν αυτό το SDK μέσα σε 22.548 πακέτα εφαρμογών. Πίσω στο Νοέμβριο του 2015, οι ερευνητές από την Trend Micro είχαν εντοπίσει παρόμοια Baidu SDK, τα οποία θα μπορούσαν να βρεθούν σε 14.112 Android εφαρμογές και συμπεριλαμβανόμενα χαρακτηριστικά που θα μπορούσαν να χρησιμοποιηθούν καταχρηστικά για να εγκαταστήσουν κερκόπορτες σε όλα τα μολυσμένα συστήματα.
Αλλά τα θέματα του Baidu Browser δεν σταμάτησαν εδώ. Οι ερευνητές ανακάλυψαν επιπλέον ότι οι έλεγχοι του προγράμματος περιήγησης και οι λήψεις ενημερώσεων, δεν χρησιμοποιούν υπογραφές κώδικα. Η πρακτική αυτή εκθέτει τους χρήστες σε MITM (Man-in-the-Middle) επιθέσεις που επιτρέπουν σε έναν εισβολέα να στείλει κακόβουλα αρχεία σε χρήστες συγκαλυμμένα ως μια Baidu ενημέρωση.
Οι ερευνητές λένε ότι ενημέρωσαν τη Baidu για όλα τα θέματά της και αυτή άρχισε την αντιμετώπισή τους μέσω ενημερώσεων τόσο για την έκδοση του Android όσο και για τα Windows, στις 14 Φεβρουαρίου 2016. Ωστόσο, κάποια διαρροή πληροφοριών υπάρχει ακόμα.
Η Baidu συμφώνησε να απαντήσει σε μια λίστα με ερωτήσεις σχετικά με τη συμπεριφορά του προγράμματος περιήγησης. Μπορείτε να δείτε αυτές τις απαντήσεις εδώ.
Τον Μάιο του 2015, οι ίδιοι ερευνητές Citizen Lab ανέλυσαν ένα άλλο κινέζικο πρόγραμμα περιήγησης στο Web (UC Browser) και βρήκαν μια πληθώρα θεμάτων και σε αυτό το προϊόν.
