2016年2月24日，國外媒體ZDNET報道了百度瀏覽器出現(xiàn)泄露個人資料的消息，標題為：百度瀏覽器傳送IMEI，地點，訪問的URL，CPU型號：Citizen Lab。(原文鏈接：http://www.zdnet.com/article/baidu-browser-transmitting-imei-location-urls-visited-cpu-model-number-citizen-lab/)

報道稱，Citizen Lab發(fā)布了一個關于百度瀏覽器通過在Android和Windows兩個版本公開或非加密的方式傳送大量的個人資料的安全報告。該報告中提到，百度瀏覽器的Android版本發(fā)送用戶的GPS坐標和最后更新時間，在進入到地址欄搜索字詞和URL訪問時，也沒有任何形式的加密措施。報道指責百度瀏覽器還通過MAC地址和很弱的加密力度發(fā)送手機的唯一的IMEI號碼和附近的無線網(wǎng)絡。當對瀏覽器受到中間人的攻擊進行尋找更新時，發(fā)現(xiàn)瀏覽器的Android版本也是非常脆弱的，然而，這個問題后來被修復。

報道稱，Citizen Lab認為，百度瀏覽器的Windows版本也以明文形式發(fā)送用戶在百度服務器的地址欄搜索的字詞歷史信息，而且還利用其易碎的加密方式發(fā)送個人信息，其中包括：硬盤序列號，型號和控制器的版本號;計算機的MAC地址;訪問的URL，包括頁面的標題; CPU型號;和文件系統(tǒng)卷序列號。

(圖片:Citizen Lab)

Citizen Lab推遲了公布，以便百度自己來解決它發(fā)現(xiàn)的問題，但百度之后的一些做法證明它并沒有取得什么實質性的進展，除了在Android版本啟動時更改更新程序和通過SSL進行傳輸個人信息外，沒有其他任何明確的表示。

據(jù)Citizen Lab報告顯示，百度瀏覽器的兩個版本，繼續(xù)泄漏敏感數(shù)據(jù)和地址欄搜索。

51CTO記者第一時間找到了Citizen Lab在本月23日發(fā)布的原文：

研究發(fā)現(xiàn)百度瀏覽器存在安全與隱私問題- The Citizen Lab：

https://citizenlab.org/2016/02/%E7%A0%94%E7%A9%B6%E5%8F%91%E7%8E%B0%E7%99%BE%E5%BA%A6%E6%B5%8F%E8%A7%88%E5%99%A8%E5%AD%98%E5%9C%A8%E5%AE%89%E5%85%A8%E4%B8%8E%E9%9A%90%E7%A7%81%E9%97%AE%E9%A2%98/

Citizen Lab文中提到主要發(fā)現(xiàn)百度瀏覽器的安全問題如下：

• 百度瀏覽器是一款以微軟視窗系統(tǒng)與安卓系統(tǒng)為平臺的網(wǎng)頁瀏覽器。它將用戶個人數(shù)據(jù)傳輸至百度服務器時，不經(jīng)加密或者只是用非常容易被解密的加密方法。因此用戶數(shù)據(jù)面對在軟件升級過程中任意代碼執(zhí)行的中間人攻擊時會顯得非常脆弱。
• 安卓版本的百度瀏覽器以不加密的方式傳輸可辨認的個人信息，包括用戶的GPS定位，歷史搜索項目，和網(wǎng)址瀏覽記錄。同時，用輕易可以被破解的加密方式傳輸用戶的IMEI(國際移動電話識別碼)和一連串用戶附近無線網(wǎng)絡的信息。
• 視窗版本的百度瀏覽器同樣用不加密或可輕易破解的簡單加密方式傳送一些列可辨認的個人信息，包括用戶的歷史搜索項目，硬盤模型序列號和網(wǎng)絡MAC地址(媒體存取控制地址)，所有歷史瀏覽頁面的網(wǎng)址鏈接和標題，以及中央處理機的型號。
• 不管是視窗版本還是安卓版本的百度瀏覽器，都沒有使用代碼簽名來保護軟件升級。這意味著在路徑內(nèi)的惡意中間人可能引起應用的下載以及執(zhí)行任意的程序，從而帶來高安全風險。
• 視窗版本的百度瀏覽器擁有的一個功能是用代理請求特定網(wǎng)頁，也就意味著允許其進入一些通常在中國被封鎖的網(wǎng)站。
• 百度瀏覽器國際版本的分析顯示數(shù)據(jù)泄露是由百度軟件研發(fā)工具箱的分享導致的，這會影響到幾百個谷歌商店中由百度或第三方研發(fā)的應用，以及一個非常受歡迎的中國應用商店中的上千個其他應用。

隨后，51CTO記者采訪了百度，百度官方認為報道存在不實信息和誤解，百度在收到Citizen Lab實驗室的通報后已于2015年12月完成修復，最新的版本已不存在該漏洞問題。

百度方的回應如下：

百度方面回應稱，報道存在不實信息和誤解，百度在收到Citizen Lab實驗室的通報后已于2015年12月完成修復，最新的版本已不存在該漏洞問題。

據(jù)百度介紹，“百度Android軟件開發(fā)套件”是一款向應用開發(fā)者提供的移動應用統(tǒng)計分析工具，旨在為開發(fā)者提供實時的統(tǒng)計服務，幫助開發(fā)者實現(xiàn)數(shù)據(jù)化、精細化運營，降低開發(fā)成本，這也是國內(nèi)外統(tǒng)計工具的通行做法。該工具不會采集外媒提及的搜索關鍵詞、網(wǎng)站訪問記錄，當然也就不存在與第三方分享這些數(shù)據(jù)的情況。

百度方面同時表示，百度建立了從產(chǎn)品開發(fā)到人員管理的一整套行之有效的安全管理體系，以保證百度的產(chǎn)品和網(wǎng)站安全，加強用戶隱私權保護。“我們歡迎各方面的監(jiān)督，也歡迎大家給百度提出更多意見和建議，幫我們一起提升用戶體驗。而對于惡意造謠和詆毀行為，我們也將采取法律手段維護自身的合法權益。”

以上是百度官方全文回應。

據(jù)記者了解，目前百度瀏覽器在PC端和移動端的裝機量，都是非常驚人的。在去年，QuestMobile發(fā)布了《2015年中國移動互聯(lián)網(wǎng)研究報告》，報告中顯示，百度瀏覽器在安卓平臺和IOS平臺的裝機量雖然排名不高，但非常驚人，如果出現(xiàn)安全問題和隱患，將直接影響國內(nèi)大約近6千萬人。如下圖：

(圖片來源：QuestMobile)

51CTO記者也在此呼吁各大應用工具廠商，安全無小事，重視安全才能獲得更多人的認可。