个人隐私泄露风险的技术研究报告.docx

莅前言螂随着国内外个人隐私泄露事件的频繁发生和对个人隐私保护的重视,人们越来越关注日常工作生活中计算机软件、移动终端以及高技术带来的个人隐私问题。中国科学院信息工程研究所保密技术攻防重点实验室对当前常用软件和终端产品的用户隐私保护情况进行了初步调查,通过实验研究发现了一些有关隐私保护存在的风险。本文主要从常用软件、网络服务、移动终端以及声光电磁等四个方面介绍了实验室的研究结果和发现。文中内容注重实例研究和数据再现,希望引起有关部门对个人隐私相关问题的关注。薂本文得到了北京大学互联网安全技术北京市重点实验室的帮助。羇 1终端常用软件与用户隐私保护螅 、提供个性化服务、发展定向广告业务等目的,通常会在后台收集用户的网页浏览记录等个人信息上传到服务器。然而许多收集用户个人信息的行为是在用户不知情的情况下进行的,或者所收集的信息超出了软件《安装许可协议》中进行了明确规定的范围。,对浏览器的用户隐私泄露问题进行了分析和研究,网络浏览器中的隐私泄露威胁存在于以下几个方面:莀 1)预留***,植入代码:一些浏览器在使用过程中会在用户不知情的情况下在后台执行《安装许可协议》规定内容之外的功能,360安全浏览器在运行过程中约每5分钟与服务端进行一次通信,并下载一个文件,如下图所示,下载的文件为,但是从数据流可以看出该文件实际上是一个PE文件,文件头中标识的产品名称为DataDll。芄图1-1芃将该文件从数据流中提取出来得到一个dll文件,查看该文件的属性,得到其文件说明为“360安全浏览器安全网银”。莀图1-2蒈从该文件中提取到一段Base64编码的文本信息:VybDE9aHR0cDovL3d3dy5iYWlkdS5jb20vc2VhcmNoL3Jlc3NhZmUuaHRtbCoNCmNiY2NvdW50PTINCmMxPUJBSURVSUQNCmMyPUJEVVNT羄经过解码后的内容为:蒂[st]薆 count=2莇[st1]蚄 id=1艿 url=/*罿[st2]螆 id=2蒄 url=*莁[traymsg]肇 staticsid=31膆 count=1羁 url1=/*莂[main]荿 hkres2=1蚅 cbc=1蚁[cbc]腿 urlcount=1薈 url1=/*肄 ount=2莁 c1=BAIDUID芁 c2=BDUSS蚆由此可推测该DLL文件的功能与网银无任何关系,而是跟搜索引擎百度相关可能是为了躲避Referer字段的检查。这种行为虽然不涉及用户隐私,但是具有欺骗性。蒄此外,360安全浏览器还会在用户不知情的情况下定期从服务端下载和执行一个名为“ExtS