Почему моя таблетка NVIDIA ищет китайских серверов (Baidu.com)? -- security поле с участием logging поле с участием bloatware пол android Связанный проблема

Why is my Nvidia tablet looking for chinese servers(baidu.com)?


5
vote

проблема

русский

Я не уверен, что это правильная область для вопроса, или если это даже большая сделка, но здесь я иду. При использовании NVIDIA Tablet для разработки приложения я понял, что он пытался добраться до сервера в Китае. Это не имеет смысла для меня, потому что у меня нет приложений, которые я бы подумал, постарается сделать это. Что я хотел бы знать, это если это проблема в безопасности?

 <код> 02-12 14:09:32.448  11220-11284/? E/sdkstat﹕ sdkstat send error++++++java.net.UnknownHostException: Unable to resolve host "hmma.baidu.com": No address associated with hostname   
Английский оригинал

I am not sure if this is the right area for the question, or if it is even a big deal, but here i go. When using by Nvidia tablet to develop an app I realized that it was attempting to reach a server in china. this doesn't make sense to me because I don't have any apps that I would think would try to do this. What I would like to know is if this is a security concern?

02-12 14:09:32.448  11220-11284/? E/sdkstatxefxb9x95 sdkstat send error++++++java.net.UnknownHostException: Unable to resolve host "hmma.baidu.com": No address associated with hostname 
        
         
         

Список ответов

1
 
vote

Возможно, вы захотите прочитать в феврале 2016 года в CitizenLab. org .

Большая часть соответствующей части статьи:

Утечки конфиденциальных данных о запуске

При запуске приложения мы наблюдали браузер Baidu, отправив запрос http Post https://hmma.baidu.com/app.gif

Тело этого HTTP-запроса - это файл GZIP JSON. Файл JSON содержит список полей с различными деталями о телефоне и пользователю, некоторые в виде простого текста, а другие зашифрованы.

Непритвержденные поля в файле json включают:

    .
  • O: операционная система пользователя (например, «Android»)
  • n: Номер версии браузера Baidu
  • w, h: Ширина и высота, соответственно, экрана в пикселях
  • gl: координаты GPS и время последнего обновления GPS

Некоторые поля зашифрованы с помощью AES + ECB с жестким кодированным ключом кодирования ASCII <Код> h9YLQoINGWyOBYYk

, а затем base64 закодирован. Эти поля включают в себя:

    .
  • dd: номер imei
  • II: строка, содержащая номер IMEI телефона, написанный обратный и хеш-хеш для Android версию версии программного обеспечения MD5
  • wl2: список всех беспроводных сетей в диапазоне и их MAC-адреса и сильные стороны сигнала

С знанием жесткого кодированного ключа эти поля могут быть легко расшифрованы. Исходный код для сценария Python для расшифровки этих полей доступен здесь.

А потом есть Ответ Baidu (PDF файл, размещенный в CitizenLab.org ) . Похоже, они не видят проблему в сборе этих данных, они просто признают, что им нужно улучшить их шифрование:

Baidu Endevors для сбора данных в соответствии с самым высоким стандартам безопасности и Пользовательская конфиденциальность в отрасли. Мы раскрываем нашу практику в наших Условиях обслуживания в соответствии с конфиденциальностью Права, как подробно здесь (китайский): https://www.baidu.com/duty/yinsiquan. HTML

Мы благодарны гражданской лаборатории для того, чтобы быть в памяти о безопасности данных в передаче, и у нас есть Уже существенный прогресс в достижении того, чтобы любая такая передача будет безопасна.

Так что статья CitizenLab, вероятно, больше не описывает то, что вы можете увидеть в Net Neaday.

 

You might want to read this February 2016 article at citizenlab.org.

Most relevant part of the article:

Leaks sensitive data on startup

Upon application launch, we observed Baidu Browser sending an HTTP POST request to https://hmma.baidu.com/app.gif

The body of this HTTP request is a gzipped JSON file. The JSON file contains a list of fields with various details about the phone and the user, some in plain text and others encrypted.

Unencrypted fields in the JSON file include:

  • o: the userxe2x80x99s operating system (e.g., xe2x80x9cAndroidxe2x80x9d)
  • n: Baidu Browser version number
  • w, h: width and height, respectively, of the screen in pixels
  • gl: GPS coordinates and time of last GPS update

Some fields are encrypted using AES+ECB with the hard-coded ASCII-encoded key h9YLQoINGWyOBYYk

and then Base64 encoded. These fields include:

  • dd: IMEI number
  • ii: a string containing the phonexe2x80x99s IMEI number written backwards and an MD5 hash of Android software version information
  • wl2: list of all in-range wireless networks and their MAC addresses and signal strengths

With knowledge of the hard-coded key, these fields can easily be decrypted. The source code for a python script for decrypting these fields is available here.

And then there's Baidu's response (PDF file hosted at citizenlab.org). They don't seem to see an issue in collecting this data, they just acknowledge that they need to improve their encryption:

Baidu endeavors to collect data in a way consistent with the highest standards of security and user privacy in the industry. We disclose our practices in our terms of service under privacy rights as detailed here (Chinese): https://www.baidu.com/duty/yinsiquan.html

We're grateful of Citizen Lab for being mindful of data security in transmission and we have already made substantial progress toward ensuring that any such transmission will be secure.

So citizenlab's article is probably no morexc2xa0describing what you can see on the net nowadays.

 
 

Связанный проблема

7  Как вы удалите предварительно установленные приложения на укорененный телефон?  ( How do you remove pre installed apps on a rooted phone ) 
У меня есть укорененный Nexus One и хотите удалить некоторые из предварительно установленных приложений, например, Amazon MP3. Какой лучший способ сделать э...

3  У меня меньше 40 приложений (включая системные приложения); Что еще я могу удалить?  ( I have less than 40 apps including system apps what else can i remove ) 
Я пытаюсь удалить как можно больше Bloadware, но нет информации о некоторых из них в Google. Вот список приложений, которые я не уверен Что они предназначены...

0  AppMgriii не удаляет Android Bloadware - отключить только  ( Appmgriii doesnt uninstall android bloatware only disable ) 
У меня есть старые LGLS660 с 4 МБ внутренней памяти, создавая установку новых приложений практически невозможно - добавлена ​​карта MicroSD для расширения на ...

1  Удалить Google App (Velvet) из Android Marshmallow  ( Remove google app velvet from android marshmallow ) 
Я хочу удалить bloatware velvet apk (приложение Google) от на складе Android barshmallow на Nexus 5. У меня не было проблем на леденке на леденке, удаление пр...

20  Как я могу предотвратить автоматическую работу нежелательных предустановленных приложений на Android? [Дубликат]  ( How can i prevent unwanted pre installed apps from automatically running on andr ) 
<в сторону CLASS = "S-NEWACTS S-WELTIVE__info JS-Post-New Imide MB16« Роль = «Статус»> Этот вопрос уже имеет ответ здесь : ...

1  Как исправить сломанные контакты хранения (Droid 3 v2.3.4)?  ( How to fix broken contacts storage droid 3 v2 3 4 ) 
Симптомы . Я получаю силу рядом с <Код> com.motorola.contacts Когда я пытаюсь редактировать мои контакты Я могу просмотреть мои контакты Проблема нач...

2  Как удалить Alcatel File Manager?  ( How to delete alcatel file manager ) 
У меня есть Alcatel One Touch Idol 3 модели 60451, работающий на Android 6.0.1, и он обновил несколько дней назад, поворачивая файловый менеджер в рекламное П...

5  Почему моя таблетка NVIDIA ищет китайских серверов (Baidu.com)?  ( Why is my nvidia tablet looking for chinese serversbaidu com ) 
Я не уверен, что это правильная область для вопроса, или если это даже большая сделка, но здесь я иду. При использовании NVIDIA Tablet для разработки приложен...

0  Как удалить приложения, которые не позволяют удалеть вариант без укоренения смартфона? [Дубликат]  ( How to remove apps which doesnt allow uninstall option without rooting smartpho ) 
<в сторону CLASS = "S-NEWACTS S-WELTIVE__info JS-Post-New Imide MB16« Роль = «Статус»> Этот вопрос уже есть ответы здесь : ...

3  Riving Android-телефон Snapfish  ( Ridding android phone of snapfish ) 
что-то «одаренное» мою Samsung Galaxy 2 с общим действием Snapfish. Потому что это прилегает к кнопке печати моего брата, я нашел это случайно. Кроме того, чт...