Datenleck im Baidu Browser betrifft auch ES Datei Explorer

Der chinesische Suchmaschinen-Gigant Baidu ist zu einem der Schwergewichte der mobilen Welt geworden und hat mit Hilfe seines Mobile SDK eine Vielzahl an Apps in das eigene Ökosystem integrieren können. Auch wenn der Großteil der Nutzer in China ansässig ist, laufen Nutzer hierzulande Gefahr, dass persönliche Daten unverschlüsselt nach China transferiert werden.

Entdeckt hat den Datenverkehr des Baidu Browser das im kanadischen Toronto ansässige Citizen Lab der Munk School of Global Affairs. Laut deren Untersuchungen überträgt der für Android als auch Windows verfügbare Browser persönliche Daten wie GPS-Koordinaten, Suchbegriffe, besuchte Websites sowie die IMEI des genutzten Smartphones und eine Liste von in der Nähe befindlicher WLAN-Netzwerke.

Allein diese Daten sind schon mehr als bedenklich, es kommt aber noch schlimmer: Sie werden unverschlüsselt direkt auf die chinesischen Server von Baidu übermittelt so CitizenLab. Den kompletten in Englisch verfassten Bericht kann man sich unter diesem Link anschauen.

Baidu Browser ist löchrig wie Schweizer Käse

Im Fall der Windows-Vesion des Baidu Browser kommen noch weitere Daten hinzu wie Seriennummern von installierten Datenträgern, Mac-Adresse im Netzwerk sowie die Modellnummer des verbauten Prozessors. Auch diese Daten werden unverschlüsselt übertragen laut dem Bericht.
Erschwerend kommt hinzu, dass der Browser des chinesischen Konzerns keinerlei Überprüfung von App-Signaturen vornimmt, sodass fähige Angreifer mit relativ wenig Mühe schadhaften Code einschleusen können – über das integrierte Update-System der beiden Browser.

Im Prinzip ist jede einzelne Android App davon betroffen, die auf das Baidu SDK setzt. Eine der prominentesten und zuletzt sowieso schon in Verruf gekommene App (zum Beitrag) ist der einstmals so beliebte ES Datei Explorer. Hinzu kommenden Hunderte weiterer Apps im Google Play Store, in welchen das SDK genutzt wird.

Das Ausmaß der Entdeckungen ist bisher noch nicht abzusehen. Vor allem die Frage, inwieweit die chinesische Regierung auf die gesammelten Daten überhaupt Zugriff hat, ist noch offen. Baidu selbst bestreitet es vehement, dass die chinesische Regierung Zugriff auf diese Daten hat.

Das nachfolgende Bild zeigt ebenfalls ein Beispiel für einen Man-in-the-Middle-Angriff, bei welchem neben einer Popup-Mitteilung auch gleichzeitig eine APK installiert wird. Im Beispiel ist es das harmlose Spiel Angry Birds – Angreifer könnten allerdings dem Nutzer Malware getarnt mit dem Logo des Baidu Browsers unterschieben.

Eine mehr als zweifelhafte Reaktion

Erschreckend ist ohne Zweifel, wie wenig der Suchmaschinen-Gigant überhaupt an der Sicherheit seiner Apps interessiert ist. Immerhin scheint die Ende Januar veröffentlichte Version des Baidu Browser Version 6.4.14.0 einige der gefundenen Sicherheitslücken geschlossen zu haben. So werden die zu übermittelnden Daten mit genannter Version zumindest SSL-verschlüsselt, während die Übertragung von Inhalten der Adressleiste inklusive der IMEI weiterhin in vollem Umfang nach China übertragen werden.

Laut einem Schriftwechsel zwischen dem Citizen Lab und Baidu wird sich daran auch nichts ändern.
Immerhin werden Updates für die Software mit genannter Version unter Android per HTTPS-Abfrage überprüft. Trotzdem ist die Sicherheit in diesem Punkt mehr als fragwürdig.

Bezüglich der Windows-Version des Browsers ändert auch die Version 8.2.100.3090 nichts an den entdeckten Schwachstellen. Lediglich eine Überprüfung der digitalen AuthentiCode-Signatur wird nun durchgeführt, ob das heruntergeladene Update von Baidu signiert wurde.

Unter all diesen Gesichtspunkten ist von der Nutzung jeglicher Apps abzuraten, die in irgendeiner Form mit Baidu in Verbindung stehen. Leider ist genau das der springen Punkt: Ob das SDK des chinesischen Konzerns genutzt wird, ist aus der bloßen Beschreibung im Play Store nicht ersichtlich.

[Quelle: XDA Developers]