Почему моя таблетка NVIDIA ищет китайских серверов (Baidu.com)? -- security поле с участием logging поле с участием bloatware пол android Связанный проблема

Why is my Nvidia tablet looking for chinese servers(baidu.com)?


5
vote

проблема

русский

Я не уверен, что это правильная область для вопроса, или если это даже большая сделка, но здесь я иду. При использовании NVIDIA Tablet для разработки приложения я понял, что он пытался добраться до сервера в Китае. Это не имеет смысла для меня, потому что у меня нет приложений, которые я бы подумал, постарается сделать это. Что я хотел бы знать, это если это проблема в безопасности?

 <код> 02-12 14:09:32.448  11220-11284/? E/sdkstat﹕ sdkstat send error++++++java.net.UnknownHostException: Unable to resolve host "hmma.baidu.com": No address associated with hostname   
Английский оригинал

I am not sure if this is the right area for the question, or if it is even a big deal, but here i go. When using by Nvidia tablet to develop an app I realized that it was attempting to reach a server in china. this doesn't make sense to me because I don't have any apps that I would think would try to do this. What I would like to know is if this is a security concern?

02-12 14:09:32.448  11220-11284/? E/sdkstatxefxb9x95 sdkstat send error++++++java.net.UnknownHostException: Unable to resolve host "hmma.baidu.com": No address associated with hostname 
        
         
         

Список ответов

1
 
vote

Возможно, вы захотите прочитать в феврале 2016 года в CitizenLab. org .

Большая часть соответствующей части статьи:

Утечки конфиденциальных данных о запуске

При запуске приложения мы наблюдали браузер Baidu, отправив запрос http Post https://hmma.baidu.com/app.gif

Тело этого HTTP-запроса - это файл GZIP JSON. Файл JSON содержит список полей с различными деталями о телефоне и пользователю, некоторые в виде простого текста, а другие зашифрованы.

Непритвержденные поля в файле json включают:

    .
  • O: операционная система пользователя (например, «Android»)
  • n: Номер версии браузера Baidu
  • w, h: Ширина и высота, соответственно, экрана в пикселях
  • gl: координаты GPS и время последнего обновления GPS

Некоторые поля зашифрованы с помощью AES + ECB с жестким кодированным ключом кодирования ASCII <Код> h9YLQoINGWyOBYYk

, а затем base64 закодирован. Эти поля включают в себя:

    .
  • dd: номер imei
  • II: строка, содержащая номер IMEI телефона, написанный обратный и хеш-хеш для Android версию версии программного обеспечения MD5
  • wl2: список всех беспроводных сетей в диапазоне и их MAC-адреса и сильные стороны сигнала

С знанием жесткого кодированного ключа эти поля могут быть легко расшифрованы. Исходный код для сценария Python для расшифровки этих полей доступен здесь.

А потом есть Ответ Baidu (PDF файл, размещенный в CitizenLab.org ) . Похоже, они не видят проблему в сборе этих данных, они просто признают, что им нужно улучшить их шифрование:

Baidu Endevors для сбора данных в соответствии с самым высоким стандартам безопасности и Пользовательская конфиденциальность в отрасли. Мы раскрываем нашу практику в наших Условиях обслуживания в соответствии с конфиденциальностью Права, как подробно здесь (китайский): https://www.baidu.com/duty/yinsiquan. HTML

Мы благодарны гражданской лаборатории для того, чтобы быть в памяти о безопасности данных в передаче, и у нас есть Уже существенный прогресс в достижении того, чтобы любая такая передача будет безопасна.

Так что статья CitizenLab, вероятно, больше не описывает то, что вы можете увидеть в Net Neaday.

 

You might want to read this February 2016 article at citizenlab.org.

Most relevant part of the article:

Leaks sensitive data on startup

Upon application launch, we observed Baidu Browser sending an HTTP POST request to https://hmma.baidu.com/app.gif

The body of this HTTP request is a gzipped JSON file. The JSON file contains a list of fields with various details about the phone and the user, some in plain text and others encrypted.

Unencrypted fields in the JSON file include:

  • o: the userxe2x80x99s operating system (e.g., xe2x80x9cAndroidxe2x80x9d)
  • n: Baidu Browser version number
  • w, h: width and height, respectively, of the screen in pixels
  • gl: GPS coordinates and time of last GPS update

Some fields are encrypted using AES+ECB with the hard-coded ASCII-encoded key h9YLQoINGWyOBYYk

and then Base64 encoded. These fields include:

  • dd: IMEI number
  • ii: a string containing the phonexe2x80x99s IMEI number written backwards and an MD5 hash of Android software version information
  • wl2: list of all in-range wireless networks and their MAC addresses and signal strengths

With knowledge of the hard-coded key, these fields can easily be decrypted. The source code for a python script for decrypting these fields is available here.

And then there's Baidu's response (PDF file hosted at citizenlab.org). They don't seem to see an issue in collecting this data, they just acknowledge that they need to improve their encryption:

Baidu endeavors to collect data in a way consistent with the highest standards of security and user privacy in the industry. We disclose our practices in our terms of service under privacy rights as detailed here (Chinese): https://www.baidu.com/duty/yinsiquan.html

We're grateful of Citizen Lab for being mindful of data security in transmission and we have already made substantial progress toward ensuring that any such transmission will be secure.

So citizenlab's article is probably no morexc2xa0describing what you can see on the net nowadays.

 
 

Связанный проблема

11  Могу ли я создать ограниченный профиль на мобильном телефоне Android?  ( Can i create a restricted profile on an android cellphone ) 
фон Я хочу помешать себе от просмотра порнографии на моем мобильном телефоне. Иногда я иногда хожу на группы поддержки зависимости, но еще не сделали двенад...

9  Есть ли способ для пользователя, чтобы сказать, если их устройство Android зашифровано или нет?  ( Is there a way for a user to tell if their android device is encrypted or not ) 
Есть полуоценка на SO SOO TA HREF="https://stackovlow.com/questions/12640708/Check-if-andred-filesystem-is-ifrypted"> https://stackovflow.com/ Вопросы / 12640...

3  Есть ли в любом случае, чтобы подключиться к сети WPA Enterprise Wi-Fi с версией 1.5 на Backflip Motorola?  ( Is there anyway to connect to a wpa enterprise wi fi network with version 1 5 on ) 
единственные доступные варианты безопасности при добавлении новой сети Wi-Fi: . Нет wep wpa personal wpa2 personal Я надеялся подключиться к предпр...

2  Разрешить вход с несколькими паролями  ( Allow login with multiple passwords ) 
Можно ли настроить несколько принятых паролей для входа в Android? Или, возможно, альтернативный безопасный логин. (Примечание. Распознавание лица и отпечатки...

25  Установка сертификата без обязательного Pin LockScreen  ( Certificate install without mandatory pin lockscreen ) 
Поддержка Google говорит : Тип блокировки, который приемлемый, может быть предопределен вашей системой администратор. Где я могу определить, что прие...

3  Может ли приложение быть установленным на телефоне Android без подтверждения, просто посещая или нажав ссылки на странице?  ( Can application be installed on an android phone without confirmation just by v ) 
Я пошел на Putlocker, а затем появился всплывающее окно о системной ошибке, а затем другой, как это: В тот момент я выключил свой телефон. Но прежде чем ...

59  Есть ли какие-либо инструменты для Sandbox Malware Action даже больше, чем самые выданные разрешения на Android?  ( Are there any tools to sandbox a malware application even more than the granted ) 
Предположим, я хочу запустить некоторую программу, которая запрашивает слишком много разрешений. Например, запись от микрофона или прочитайте IMEI моего телеф...

55  Антивирус действительно нужен для Android?  ( Is an antivirus really needed for android ) 
Я использую Linux в течение половины десятилетнего дня, поэтому я больше не привык работать с вирусами. К моему удивлению, я видел некоторую дискуссию о антив...

7  Выйти из Gmail на моем устройстве  ( Logout from gmail on my device ) 
Это беспокоит меня, что мой телефон Android постоянно регистрируется в мою учетную запись Gmail. Я хочу выйти из устройства и как-то сделать телефон запроси...

0  Безопасная ли синхронизация Google Photos Google на публике WiFi  ( Is google photos synchronisation secure on public wifi ) 
Может кто-то (владелец публики NW или злоумышленника) выполняет человека в средней атаке и украсть фотографии, пока они синхронизируются над публичным WiFi? П...

3  Расположение украденного телефона после сброса настроек  ( Locating stolen phone after factory reset ) 
Я предполагаю, что любой разумный вор будет протирать телефон как можно скорее, тем самым удаляя любые приложения для отслеживания и учетных записей пользоват...

12  Есть ли приложение WEP Cracking для Android?  ( Is there any wep cracking application available for android ) 
Есть ли приложение для взлома WEP для Android? Если нет, это не требуется ли у вещей с треском и оборудованием API и оборудованием доступно на вашем среднем...

0  Случайно я удалил мою домашнюю лаунчер  ( Accidentally i have uninstalled my home launcher ) 
в моем телефоне нет запуска. Я также выключился и включен. Он показал только Samsung, ничего еще. Мое устройство уже было укоренено, и я подумал, что по завод...

1  Подозрительный справочник ".mysecuritydata" во внутреннем хранении  ( Suspicious directory mysecuritydata in internal storage ) 
У меня есть устройство Galaxy Note (N7000) Android 4.1.2. Я просматривал внутреннее хранилище и заметил каталог с именем «.MysecurityData», который содержит о...

8  Как я могу изменить SELinux от обеспечения разрешений на Samsung Galaxy Note 3?  ( How can i change selinux from enforcing to permissive on samsung galaxy note 3 ) 
Мое устройство является Samsung Galaxy Note 3 SM-N9005. Этот телефон поставляется с SELinux, установленным для обеспечения применения по умолчанию. Я пыта...

Связанный проблема

11  Могу ли я создать ограниченный профиль на мобильном телефоне Android? 
9  Есть ли способ для пользователя, чтобы сказать, если их устройство Android зашифровано или нет? 
3  Есть ли в любом случае, чтобы подключиться к сети WPA Enterprise Wi-Fi с версией 1.5 на Backflip Motorola? 
2  Разрешить вход с несколькими паролями 
25  Установка сертификата без обязательного Pin LockScreen 
3  Может ли приложение быть установленным на телефоне Android без подтверждения, просто посещая или нажав ссылки на странице? 
59  Есть ли какие-либо инструменты для Sandbox Malware Action даже больше, чем самые выданные разрешения на Android? 
55  Антивирус действительно нужен для Android? 
7  Выйти из Gmail на моем устройстве 
0  Безопасная ли синхронизация Google Photos Google на публике WiFi 
3  Расположение украденного телефона после сброса настроек 
12  Есть ли приложение WEP Cracking для Android? 
0  Случайно я удалил мою домашнюю лаунчер 
1  Подозрительный справочник ".mysecuritydata" во внутреннем хранении 
8  Как я могу изменить SELinux от обеспечения разрешений на Samsung Galaxy Note 3?