これが質問の正しい領域であるかどうか、またはそれが大したことさえあるならば、ここで私は行く。 NVIDIAタブレットで使用するために使用するとき、私は中国でサーバーに到達しようとしていたことを実感しました。私はこれをやろうと思うだろうと思うアプリがないので、これは私には意味がありません。私が知りたいことはこれがセキュリティ上の関心事であるならば?
<事前> <コード> 9988776655443331これが質問の正しい領域であるかどうか、またはそれが大したことさえあるならば、ここで私は行く。 NVIDIAタブレットで使用するために使用するとき、私は中国でサーバーに到達しようとしていたことを実感しました。私はこれをやろうと思うだろうと思うアプリがないので、これは私には意味がありません。私が知りたいことはこれがセキュリティ上の関心事であるならば?
<事前> <コード> 9988776655443331I am not sure if this is the right area for the question, or if it is even a big deal, but here i go. When using by Nvidia tablet to develop an app I realized that it was attempting to reach a server in china. this doesn't make sense to me because I don't have any apps that I would think would try to do this. What I would like to know is if this is a security concern?
02-12 14:09:32.448 11220-11284/? E/sdkstatxefxb9x95 sdkstat send error++++++java.net.UnknownHostException: Unable to resolve host "hmma.baidu.com": No address associated with hostname
2016年2月のこの記事の記事で読んでください。 org
記事の最も関連部分:
起動時の機密データをリークする
アプリケーションの起動時に、HTTP POSTリクエストを送信するBaiduブラウザを観察しました。 https://hmma.baidu.com/app.gif
このHTTP要求の本文はgziped JSONファイルです。 JSONファイルには、電話とユーザに関するさまざまな詳細を持つフィールドのリストが含まれています。
jsonファイル内の暗号化されていないフィールドには、次のものがあります。
- O:ユーザのオペレーティングシステム(例えば、「Android」)
- n:Baiduブラウザのバージョン番号
- w、h:それぞれ画面の画面の幅と高さ
- GL:GPS座標と最後のGPS更新の時間
ハードコードされたASCIIエンコードキーを使用してAES + ECBを使用して暗号化されています <コード> h9YLQoINGWyOBYYk
、その後、符号化されたBase64。これらのフィールドは次のとおりです。
- DD:IMEI番号
- II:復帰書に書かれた電話のIMEI番号を含む文字列とAndroidソフトウェアのMD5ハッシュ情報
- WL2:すべての範囲の無線ネットワークのリストとそのMACアドレスと信号強度
ハードコードキーを知っていると、これらのフィールドを簡単に復号化できます。これらのフィールドを復号化するためのPythonスクリプトのソースコードはここで利用可能です。
、 Baiduの応答(PDFファイルがCitizenLab.orgでホストされています) )。彼らはこのデータを収集する上で問題を見るのは見えないようです、彼らは彼らが彼らの暗号化を改善する必要があることを認識しています:
Baiduは、最高水準のセキュリティと一致する方法でデータを収集するよう努めています。 業界におけるユーザーのプライバシー。私たちはプライバシーの下での当社の利用規約での慣行を開示しています ここにある権利(中国語): https://www.baidu.com/duty/yinsiquan.com/duty ///www.baidu.com/duty //www.baidu.com/jp HTML
伝送中のデータセキュリティに注意を払うための市民ラボに感謝し、 そのような送信が安全になることを確実にするためにすでに実質的な進歩を遂げました。
だから市民の記事はおそらくあなたが今日のネットで見ることができるものを説明していないでしょう。
You might want to read this February 2016 article at citizenlab.org.
Most relevant part of the article:
Leaks sensitive data on startup
Upon application launch, we observed Baidu Browser sending an HTTP POST request to https://hmma.baidu.com/app.gif
The body of this HTTP request is a gzipped JSON file. The JSON file contains a list of fields with various details about the phone and the user, some in plain text and others encrypted.
Unencrypted fields in the JSON file include:
- o: the userxe2x80x99s operating system (e.g., xe2x80x9cAndroidxe2x80x9d)
- n: Baidu Browser version number
- w, h: width and height, respectively, of the screen in pixels
- gl: GPS coordinates and time of last GPS update
Some fields are encrypted using AES+ECB with the hard-coded ASCII-encoded key
h9YLQoINGWyOBYYk
and then Base64 encoded. These fields include:
- dd: IMEI number
- ii: a string containing the phonexe2x80x99s IMEI number written backwards and an MD5 hash of Android software version information
- wl2: list of all in-range wireless networks and their MAC addresses and signal strengths
With knowledge of the hard-coded key, these fields can easily be decrypted. The source code for a python script for decrypting these fields is available here.
And then there's Baidu's response (PDF file hosted at citizenlab.org). They don't seem to see an issue in collecting this data, they just acknowledge that they need to improve their encryption:
Baidu endeavors to collect data in a way consistent with the highest standards of security and user privacy in the industry. We disclose our practices in our terms of service under privacy rights as detailed here (Chinese): https://www.baidu.com/duty/yinsiquan.html
We're grateful of Citizen Lab for being mindful of data security in transmission and we have already made substantial progress toward ensuring that any such transmission will be secure.
So citizenlab's article is probably no morexc2xa0describing what you can see on the net nowadays.
© 2022 cndgn.com All Rights Reserved. Q&Aハウス 全著作権所有