如何隐藏和保护上网隐私与浏览器记录
在现在网络发达的时代,个人隐私与网络安全这一问题日益受到重视。为保护自己的上网隐私与数据安全,这里提供一些建议:
1.使用隐私模式浏览网页。几乎所有的主流浏览器如Chrome、Firefox、Safari等都提供隐私或无痕模式浏览选项。使用此模式浏览网页时,浏览器不会保存您的历史记录、Cookie以及网站数据。一旦您关闭浏览器,这些记录都会被删除。这可以防止别人查看您的浏览历史与记录。
但是要注意的问题是,你的上网行为依旧会被服务商和网站运营看到并且记录。
2.使用虚拟私人网络(VPN)。创建一个安全的网络连接,隐藏您的真实IP地址,使您的上网行为得到保护。使用VPN浏览网页时,您的一举一动都会通过加密隧道进行传输,防止被第三方监控。这对在公共WiFi热点上网来说尤为重要。
3.使用隐私友好的搜索引擎。一些搜索引擎如DuckDuckGo、Startpage和Searx不会保存您的搜索记录、定位信息以及IP地址。使用这类搜索引擎可以最大限度地保护您的搜索隐私不被所追踪。
4.清除浏览器缓存、Cookie与浏览历史。定期清理浏览器的数据记录可以删除您的浏览足迹,防止这些信息被他人利用。删除Cookie可以使得网站无法识别出您的身份与兴趣偏好,保护数据隐私。
5.禁用位置服务。禁用浏览器的定位服务功能可以防止网站使用您的位置信息,避免基于位置的跟踪与监控。关闭定位后,大多数网站将无法获取您的准确位置信息。
6.使用防追踪插件。像Privacy,Badger、uBlock,Origin这些开源插件可以阻止广告、跟踪器和其他第三方监控您的行为。这有助于保护您的上网隐私与减少数据收集。
-
上一篇
火狐浏览器FirefoxNightly新特性:新按钮可快速重置隐私窗口
近日,Mozilla发布的FirefoxNightly版本为隐私浏览窗口引入了全新的火焰图标,用户点击后可以重置当前隐私浏览会话。隐私浏览能帮助用户在火
-
下一篇
主要发现
百度浏览器是微软和安卓平台上的一种网络浏览器,个人用户在向服务器传输数据时进行加密,就算加密了也很容易被解密。浏览器更新时可能很轻易地被中间攻击者利用,执行任意代码。
安卓版本的百度浏览器传输的个人可识别数据,包括用户的GPS坐标、搜索内容和访问时的URL,这些内容都是没有进行加密的。不仅如此,在传输用户的IMEI和附近无线网络列表时也只是使用了简单、易于破解的加密。
Windows版的百度浏览器在传输个人可识别数据点的时候也没有进行加密,或者是进行了简单的加密。这些数据包括了用户的搜索词、硬盘序列号模型、MAC网络地址、URL和访问历史,还有CPU型号。
无论是Windows版还是安卓版的百度,都没有使用代码签名来保护软件更新,提高其安全性,也就是说,更新路径上随便一个恶意攻击者都可以让该应用程序下载执行任意代码,这是一个重大的安全风险。
微软版本的百度浏览器有一个功能:可以将一个请求转向特定的网站,这就允许用户可以访问一些在中国被墙的网站。
对百度的全球版本进行分析之后发现,数据泄露是因为百度共享了它的软件开发工具包(SDK),这影响了数百个由百度和谷歌应用商店的第三方共同开发的应用程序,以及中国某个广泛使用的应用商店里的数千个应用。
介绍
百度浏览器是由中国最大的科技公司百度公司开发的,向Windows和安卓平台免费提供。它提供的功能不仅仅是一般浏览器的功能,包括了视频音频下载工具和内置的种子下载。
本篇报告针对百度浏览器在操作过程中是如何管理和传输用户数据做出了详细的分析。报告指出,Windows和安卓版本的百度浏览器都有着一定的安全隐患,都有可能泄露个人用户数据,包括用户地理位置、硬件标示符、附近的无线网络、网页浏览数据和搜索词。这些数据的传输在两种版本的浏览器中都没有进行加密或是进行了简单的加密,这也就是说,任何攻击者都可以通过手机路径并进行一定的解密手段来获得此类数据。此外,两种版本的应用都没有使用数字签名来保护其软件更新,这就意味着恶意攻击者可以让浏览器下载并执行任意代码。
这份报告是我们之前工作的延续,在此之前我们已经审查了在亚洲流行的移动应用程序的安全和隐私状况。我们之前的研究报告就发现UC浏览器有着类似的问题,这个浏览器是由中国电子商务巨头阿里巴巴公司开发的。那份报告记录了UC浏览器对于用户的敏感信息没有进行加密传输,这些信息包括了IMSI、IMEI、安卓ID、无线网络MAC地址、地理定位数据和用户的搜索查询。UC浏览器的安全问题是在 Edward Snowden 泄露出来的文件中确定的,该组织是五眼情报联盟,包括了加拿大、美国、英国、澳大利亚和新西兰的情报机构,他们就是利用这些漏洞来识别用户的。
在过去的工作中,我们已经分析了热门的第三方软件的自动更新机制。我们发现攻击者利用百度浏览器自动更新机制来进行远程代码执行的漏洞和那些第三方软件的漏洞很是相似。
此外,我们也对TOM-Skype和新浪UC信息平台的关键字审查进行了调查,不仅如此,我们还对亚洲流行的手机聊天应用程序进行了比较分析,比如微信、LINE和Kakao Talk。
我们还发布了一份关于移动通信隐私安全问题的概述,标题叫做《 The Many Identifiers in Our Pockets》。对于本篇报告中的一些技术问题来说,那份概述中关于移动技术标示符的说明是个很好的背景介绍。另外,我们还在 OpenEffect上发表了一篇关于健身追踪器上隐私和安全问题的分析。
负责任的披露和通知
我们在2015年10月26日向百度通知了我们的发现和我们发表这份报告的意图。我们表示不会按照国际对于披露漏洞的惯例在刊登前45天通知。百度最初表示会在2016年1月24日发布的更新中解决我们所确定的问题。然而百度发现这些安全问题已经影响了其他的产品,所以他们要求我们推迟到2016年2月14日之后再发表。为了给百度足够的时间来修复所有漏洞,我们同意了。
在这之后,百度表示他们会在2月14日发布Windows和安卓客户端的更新版本。为了确定他们真的解决了问题,我们对两种更新版本进行了分析。分析结果在报告结尾部分的更新:对百度最新版本的分析。
我们在2月16日向百度的国际通信主任发送了一封关于百度浏览器安全隐私问题的电子邮件,22日我们收到了回复。
在本报告的结尾附录有我们和百度关于这些安全问题交涉的所有信件。
百度浏览器:简单背景介绍
百度浏览器是由中国互联网巨头百度公司专为Windows和安卓系统研发的浏览器。首次发布是在2011年,主要基于谷歌Chromium,它拥有大量功能,包括集成的视频音频下载工具、内置种子下载和鼠标手势支持。该浏览器是百度提供的许多服务之一,其他还有搜索引擎、大规模的广告平台和百度百科(类似于维基百科)。根据中国互联网观察的调查,到2015年,百度浏览器的网民渗透率达到了29.2%。
作为中国占主导地位的高科技公司之一,加上没有来自被屏蔽的谷歌搜索引擎的竞争压力,百度已经成为了中国最常用的搜索引擎。在世界范围网页访问量排名的Alexa名单上,百度排名第四,在中国排名第一。公司2014年的收入是79.6亿美金。
2014年7月,百度和互联网流量管理公司CloudFlare建立了合作,该公司总部设在美国。二者达成合作,利用百度公司的数据中心和CloudFlare的流量管理服务来提供中国网站的访问速度。这项服务被称为百度云加速,主要针对希望加快在中国效率低下、审查严苛的网络中运行速度的企业。本报告的第二部分将介绍了百度浏览器的另一个功能,即对境外特定网站的流量进行代理来提高性能。
技术分析
我们使用逆向工程技术分析了两种版本的百度浏览器。为了分析程序行为,我们使用了机器码、字节码反汇编程序、反编译器和调试器,包括了JD、JADX和IDA。我们还使用了 tcpdump和Wireshark来捕获分析网络流量。
分析分为三部分。第一部分介绍了两种版本的中文版百度浏览器是如何向百度服务器发送未加密或是易破解个人信息的。第二部分描述了百度浏览器Windows中文版的一种特别功能,即对境外特定网站的流量进行代理来提高性能。第三部分讨论了中文版和全球版共有的漏洞,以及有多少漏洞是因为百度软件开发工具包的使用,在其他百度或是第三方应用中都可以找到该工具包。
易破解的加密
百度浏览器的隐私安全问题分析