Aplicaciones que ejecutan código de Baidu filtran datos personales

Miles de aplicaciones que ejecutan el código desarrollado por Baidu han recogido y transmitido información personal de los usuarios de la empresa china, gran parte ha sido interceptada.

Los investigadores de Citizen Lab en Canadá dijeron que encontraron problemas en un kit de software Android desarrollado por Baidu. Esto afecta al navegador móvil, aplicaciones desarrolladas por Baidu y otras empresas que utilizan el mismo kit. El navegador Baidu para Windows también fue afectado.

Los mismos investigadores destacaron el año pasado problemas similares con datos personales sin garantía en el navegador de Alibaba, otro navegador móvil ampliamente utilizado en el mayor mercado de Internet del mundo.

Alibaba arregló estas vulnerabilidades y Baidu dijo que arreglaría las brechas de cifrado en sus kits, pero sigue recolectando datos para uso comercial. Baidu dijo que “sólo proporciona datos solicitados legalmente por los organismos debidamente constituidos”.

La información cifrada recopilada incluye la ubicación del usuario, términos de busqueda y visitas al sitio web, afirmó Jeffrey Knockel, jefe en investigación de Citizen Lab.

El problema pone de manifiesto lo difícil que es para los usuarios saber exáctamente lo que los datos de sus teléfonos recopilan y transmiten, así como el riesgo de la fuga de información debido a una mala o nula codificación. También destaca el número de grupos que podrían estar interesados en acceder a estos datos.

Baidu dijo que se habían arreglado algunos problemas desde que su compañía atrajo la atención en noviembre, pero el navegador de Android sigue enviando datos sensibles, tales como la ID del dispositivo en un formato de fácil decodificación.

Baidu afirmó que el interés en los datos es sólo comercial, se negó a decir quién más podría tener acceso a ellos.

Los problemas de seguridad y privacidad de datos se han destacado en EE.UU., Apple está en un enfrentamiento con el FBI sobre la solicitud de desbloquear el iPhone de uno de los involucrados en el tiroteo de San Bernardino en California.

Citizen Lab dijo que su investigación del navegador Alibaba del año pasado fue impulsada por los documentos de la Agencia Nacional de Seguridad donde Edward Snowden mostró que las agencias de inteligencia occidental habían utilizado brechas en la navegación para espiar a los usuarios.

Alibaba dijo que no había evidencia de que los datos de usuario fueran tomados, pero abordó esta preocupación pidiendo a los usuarios actualizar sus navegadores.

Los investigadores dijeron que no era posible evaluar el número de usuarios afectados por Baidu en china y otros lugares.

Algunos desarrolladores de software en China dicen que la falta de cifrado es común; debido al rápido crecimiento y a la mala conciencia de seguridad.

“Es muy muy doloroso, pero es un dolor creciente”, dijo Andy Tian, Director General de desarrollo de aplicaciones de Asia Innovations en Pekín.

Ver infoirmacion original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2768