中国百度が1月前に公開したChrome互換ブラウザを試した結果→1年前のゼロディ内蔵でした
という訳で、早速試してみました
Baidu Browser makes Internet surfing easier
紹介画面に悪名高い Ask Toolbar の会社の検索エンジンがデフォルトになってたり、突込み所満載っぽいブラウザなんですけどw
まず、 Your are about to participate in Customer Experience Improvement Program.
にチェックを入れた時と、いれてないときの動作を比較してみました
チェックなし
http://en.browser.baidu.com の /report/install.cgi 宛てに数回だけ
channel
userid
InstallClick
UI
is_record_action
type
mini_version
fr
と言った情報を HTTP で BASE64化した情報を中国のサーバーへ送ってる
チェックあり
http://en.browser.baidu.com の /report/install.cgi 宛てに1秒間に数回にわたって
get_parent_info_parent_file_md5
get_parent_info_parent_name
get_parent_info_succ
という情報をチェックなしの情報に追加して、 HTTP で BASE64化した情報を中国のサーバーへ送ってる
個人情報ではないにしても PCの情報 を 暗号化なしの HTTPで送るのは相変わらずですね
ちなみに、バイナリのダウンロード先は
http://dl-vip.browser.baidu.com/43.23.1007.94/Spark_Setup_all.exe
でした。
起動時のプロセスの動作
BaiduBrowser_MiniDownloader.exe を起動すると上記URLから Spark_Setup_all.exe をダウンロードして実行する
spark_install.exe ってのがインストーラっぽくて起動オプションが
/S /Channel=ALL_official_mini /Lang=en-US /fr="NULL" /GUID="C36BFF08-BFFB-4DD8-8112-EA1C7F866258"
んだけど、 %ProgramFiles%\baidu\Baidu Browserにある bdutil.exe ってのを多重起動する
引数は以下の通り、既定のブラウザにしたり、ショートカット作ったり、設定読んだり、設定埋め込んだりしてるっぽい
--already_is_default_before_upgrade
--unpin_to_taskbar --app="C:\Program Files\baidu\Baidu Browser\Spark.exe"
--checkbrowser2
--checkbrowser--makediff
--version=2.0
--func=0x21
--statval="InstallType=-I&Version=43.23.1007.94&From=ALL_official_mini&PreFrom=Null&PreVersion=Null&PreTime=Null&DesktopIconState=1&FastIconState=1&SetDefaultState=0&UIEntry=custom&OneKeyInst=0&DefaultInstPathChange=0&NeedUserInfo=true&IsFromOldUpdate=0&Lang=en-US&DontCreateAllDestopLink=0&DontCreateSparkStartMenuLnk=0&DontCreateControlPanelUninstall=0&DontbCreateTaskBarPinnedLnk=0&DontSetDefaultBrowser=0"
--version=2.0
--func=0x21
--statval="InstallType=-E&Version=43.23.1007.94&From=ALL_official_mini&OneKeyEvent=Performance&NsisTimeCost1=0:13962,1:52280,2:191263,3:12409,4:22445,5:29991,6:15594,7:46142,8:191313,9:10867,10:10867,11:12409,12:1402,13:1442,14:1452,15:26020,18:229926,22:26020,23:229926,28:1412,31:1412,32:1412,33:1412,35:193220,36:195805,37:195805,38:195925,40:195925,&NsisTimeCost2=0:1462,2:1462,3:1462,4:1753,5:1773,8:6520,9:1863,10:1893,11:2174,12:10697,13:10787,16:26020,25:26020,26:27936,27:29991,28:29991,29:30261,31:30530,32:30620,33:30787,34:30951,40:26060,51:31071,55:31071,63:31430,64:67129,65:67219,66:67438,67:67438,68:67438,69:67438,70:155142,71:190674,72:190884,73:190884,74:190884,75:191104,76:191163,77:191163,78:191313,79:199397,80:229926,85:199447,86:199707,87:199767,88:226533,90:229926,91:230115,126:230115,127:462720,"
--version=2.0
--func=0x21
--statval="InstallType=-E&Version=43.23.1007.94&From=ALL_official_mini&OneKeyEvent=Started&NeedUserInfo=true&IsFromOldUpdate=0&Lang=en-US"
--version=2.0 --func=0x101"
--version=2.0
--func=0x21
--statval="InstallType=-E&Version=43.23.1007.94&From=ALL_official_mini&OneKeyEvent=FileReady"
--registerdefaultbrowser
--getdefaultbrowser
--updateshortcut
--wirteportraitini
その後にデータのコンバータらしい bddataconverter.exe を起動する(引数 --action=convertall)
sparkUpdate.exe 2回起動 引数は --frominstall と --clear_audata
sparkservice.exe が2回起動されて、
引数は -i と -s
後は普通に、 Spark Browser が起動する。
このブラウザ 2016/5/31付でコンパイルされてデジタル署名されてる比較的新しいものなんだけど、ひどい。
1. まず、flags や gpu などの設定が無効化されている
2. インストールされている Flash Player がこれ
2015年2月にリリースされた古代遺跡クラスFlash Player 16.0.0.305だ。
インストールされたPCにセキュリティホール埋め込む気満々である。
・browsercore.dll から判断できる ベースとなる Google Chrome のバージョンは43.0.2357.124 (2015年6月)
|。・ω・)なんで、最新のやつに1年前のバージョンが入ってんねんw
マルウェアが入ってるとかいう以前に、このブラウザ使って特定のサイトにアクセスさせれば、PC感染させ放題である。アホですか・ω・
4. 起動すると、いきなりネットワークアクセスを開始する
何かと思って調べてみたところ
SSL で暗号化されてるのは、 Instagram (スタートタブ) / google Adsence (広告) / KDDI
暗号化されていないのが全部 baidu絡み
http://th.browser.baidu.com/browserextension/tabpageConfig/M12/merge-M12.txt スタートページの更新日取得 http://en.browser.baidu.com/report/switch.cgi?lang=en%2dUS&Tn=ALL%5fofficial%5fmini&Ver=43%2e23%2e1007%2e94&isDefaultBrowser=1&bsUserType=1 http://ours.baidu.com/feedback/index.php?m=admin&c=import&a=getUserFeedbackStatus&dateline=0&product_id=4 http://mutix.int.browser.baidu.com/listupdater.fcgi http://th.browser.baidu.com/browserextension/pushpopup/pushconf.php?version=43.23.1007.94&ipzone=en-US&channel=ALL_official_mini http://dl.browser.baidu.com/browserextension/auto-incognito/remind-list.json http://stat.int.browser.baidu.com/stat_report.fcgi http://xapp.int.browser.baidu.com/get_applistV2-version-43_23_1007_94 http://mutix.int.browser.baidu.com/listupdater.fcgi http://popup.security.baidu.co.th/spark/getmsg?version=.0.0.0.0&protocol=2.2&language=en-US&ispcf=false&isboot=false&isbav=false&installday=0&defaultbrowser=Spark&channel=ALL_official_mini&activateday=365 http://popup.security.baidu.co.th/spark/feedback?popup_id=&err_code=1001 |
ブラウザの起動時間はチェックしてそうである(ページ情報は現時点では確認できず)
でも、ユーザーエクスペリエンス向上プログラムの送信データが暗号化されてないのは確かなのでまずいと思う
Researchers find privacy problems in popular Baidu browser
と思ったら、今年の2月に、Baidu のブラウザが個人情報送信時に暗号化の問題があるとしてニュースになってる。
Android Web Browserだけでなく、Windows 版の ブラウザも含まれると書いてあり、Baiduは修正すると回答してるので、まさにこれの事だと思う。
つまり、『対策する』と発言して4か月たっても放置状態で、セキュリティホールだらけのブラウザを1か月前に堂々とパッケージ化して公開してるのだ。
Baiduがやばいアプリを仕込んでる可能性以前に、セキュリティポリシーがめちゃくちゃなので、標準のパッケージすら怖くて使えない、ってのが現実の様です。
「Simeji」は本当にアブないアプリなのか? ホワイトハッカーが厳しくチェックした結果…… - ITmedia Mobile
こんなのやってる暇があったら本家のブラウザの脆弱性厳しくチェックしたらいいと思うの・ω・
5. 既定の home がhttp://hao.govome.com/ (hao123)になってる(まぁ、これは仕方ないのか…?)
6. bdminiopenssl.dll (uninst.exe / spark.exe が使用)を調べてみたら、 2007年10月の OpenSSL 0.9.8g ベース
bdstatreport.dll を調べてみたら 2011年のOpenSSL 0.9.8r ベース
BTEngine.dll (uninst.exe / p2p_Service が使用)を調べてみたら 2014年の6月のOpenSSL 1.0.1f ベース
SSL接続なのに危険w
結論:Installするな!
ですかね
対策:Hostsに登録!
如何でしょうか?
bdminiopenssl.dll 署名は今年5月ですが中身は…。ってことは…。