为什么我的NVIDIA平板电脑寻找中国服务器(百度)? -- security 领域 和 logging 领域 和 bloatware 领域 android 相关 的问题

Why is my Nvidia tablet looking for chinese servers(baidu.com)?


简体版||繁體版
5
vote

问题

中文

我不确定这是问题的正确区域,还是如果它甚至是一个大的交易,但我走了。 当使用NVIDIA平板电脑开发一个应用程序时,我意识到它正在尝试在中国到达服务器。这对我来说并不有意义,因为我没有任何我认为会尝试这样做的应用程序。我想知道的是,如果这是安全问题?

  02-12 14:09:32.448  11220-11284/? E/sdkstat﹕ sdkstat send error++++++java.net.UnknownHostException: Unable to resolve host "hmma.baidu.com": No address associated with hostname   
english

I am not sure if this is the right area for the question, or if it is even a big deal, but here i go. When using by Nvidia tablet to develop an app I realized that it was attempting to reach a server in china. this doesn't make sense to me because I don't have any apps that I would think would try to do this. What I would like to know is if this is a security concern?

02-12 14:09:32.448  11220-11284/? E/sdkstatxefxb9x95 sdkstat send error++++++java.net.UnknownHostException: Unable to resolve host "hmma.baidu.com": No address associated with hostname 
        
         
         

回答列表

1
 
vote

您可能希望读取 2016年2月在Citizenlab上的文章。 org

文章最相关的部分:

泄漏启动敏感数据

在应用程序启动时,我们观察了百度浏览器发送HTTP POST请求 https://hmma.baidu.com/app.gif

该HTTP请求的正文是谷拓的JSON文件。 JSON文件包含一个字段列表,其中包含有关电话和用户的各种细节,其中一些纯文本和其他加密。

json文件中的未加密字段包括:

  • O:用户的操作系统(例如,"Android" )
  • n:百度浏览器版本号
  • w,h:宽度和高度,屏幕以像素
  • GL:GPS坐标和最后GPS更新的时间

某些字段使用AES + ECB使用硬编码的ASCII编码键加密 h9YLQoINGWyOBYYk

然后base64编码。这些字段包括:

  • DD:IMEI号
  • II:一个包含手机的IMEI编号的字符串,编写的Android软件版信息的MD5散列
  • wl2:所有无线网络的列表及其MAC地址和信号强度

了解硬编码键,这些字段可以很容易地解密。这里可以使用用于解密这些字段的Python脚本的源代码。

然后有百度的响应(在citizenlab.org托管的pdf文件)。他们似乎没有看到收集此数据的问题,他们只是承认他们需要改进他们的加密:

百度努力以与最高安全标准的方式收集数据 用户隐私在行业中。我们根据隐私的服务条款披露了我们的习俗 这里详述的权利(中文): https://www.baidu.com/duty/yinsiquan。 html

我们感谢公民实验室,以便在传输中进行数据安全性,我们有 已经在确保任何此类传输将是安全的,这已经取得了实质性的进展。

所以Citizenlab的文章可能没有更多地描述你现在可以在网上看到的内容。

 

You might want to read this February 2016 article at citizenlab.org.

Most relevant part of the article:

Leaks sensitive data on startup

Upon application launch, we observed Baidu Browser sending an HTTP POST request to https://hmma.baidu.com/app.gif

The body of this HTTP request is a gzipped JSON file. The JSON file contains a list of fields with various details about the phone and the user, some in plain text and others encrypted.

Unencrypted fields in the JSON file include:

  • o: the userxe2x80x99s operating system (e.g., xe2x80x9cAndroidxe2x80x9d)
  • n: Baidu Browser version number
  • w, h: width and height, respectively, of the screen in pixels
  • gl: GPS coordinates and time of last GPS update

Some fields are encrypted using AES+ECB with the hard-coded ASCII-encoded key h9YLQoINGWyOBYYk

and then Base64 encoded. These fields include:

  • dd: IMEI number
  • ii: a string containing the phonexe2x80x99s IMEI number written backwards and an MD5 hash of Android software version information
  • wl2: list of all in-range wireless networks and their MAC addresses and signal strengths

With knowledge of the hard-coded key, these fields can easily be decrypted. The source code for a python script for decrypting these fields is available here.

And then there's Baidu's response (PDF file hosted at citizenlab.org). They don't seem to see an issue in collecting this data, they just acknowledge that they need to improve their encryption:

Baidu endeavors to collect data in a way consistent with the highest standards of security and user privacy in the industry. We disclose our practices in our terms of service under privacy rights as detailed here (Chinese): https://www.baidu.com/duty/yinsiquan.html

We're grateful of Citizen Lab for being mindful of data security in transmission and we have already made substantial progress toward ensuring that any such transmission will be secure.

So citizenlab's article is probably no morexc2xa0describing what you can see on the net nowadays.

 
 

相关问题

7  您如何在扎根的手机上删除预安装的应用程序?  ( How do you remove pre installed apps on a rooted phone ) 
我有一个rooted nexus一个,想要删除一些预安装的应用程序,例如Amazon MP3。 是什么最好的方法? ...

3  我有少于40个应用程序(包括系统应用程序);我还能删除什么?  ( I have less than 40 apps including system apps what else can i remove ) 
我正在尝试尽可能多地删除Bloatware,但没有关于Google上的一些人的信息。这是应用程序列表,我不确定它们是什么: com.android.provision com.android.keyguard(为什么它在应用程序列表中没有名称?删除后,我无法使用S2主页按钮。必须重新启动手机以使其完全删除或...

3  Ridding Android手机  ( Ridding android phone of snapfish ) 
有些"天赋" 我的三星Galaxy 2,共享动作Snapfish。因为它与我的兄弟打印按钮相邻,所以我偶然发现它。除了在那里并告诉我它实际向一些不需要的目的地发送了一张图片,我可以找到没有名为snapfish的程序或文件。它隐藏在哪里?我肯定想摆脱它。 ...

0  appmgrii无法卸载android bloatware - 只禁用  ( Appmgriii doesnt uninstall android bloatware only disable ) 
我有一个旧的lgls660,内存为4 MB内存,安装新的应用程序几乎不可能 - 添加了16 GB的Microdc卡 - 用Kingoroot成功植根于16 GB。 所以我是d / l这个应用程序我能够移动一些应用而不是卸载android的应用程序,我不使用这是所有这些摆弄的整个点。 我应该如何摆脱不需要的应用程序?...

1  从Android Marshmallow删除Google App(Velvet)  ( Remove google app velvet from android marshmallow ) 
我想从Nexus 5中删除Bloatware Velvet APK(Google App)从Nexus 5.洛杉矶删除Google App的Lollipop没有问题。它完美地工作。但是在棉花糖上,如果我删除它,我会得到一个靴子。 ...

5  为什么我的NVIDIA平板电脑寻找中国服务器(百度)?  ( Why is my nvidia tablet looking for chinese serversbaidu com ) 
我不确定这是问题的正确区域,还是如果它甚至是一个大的交易,但我走了。 当使用NVIDIA平板电脑开发一个应用程序时,我意识到它正在尝试在中国到达服务器。这对我来说并不有意义,因为我没有任何我认为会尝试这样做的应用程序。我想知道的是,如果这是安全问题? 02-12 14:09:32.448 11220-11284...

20  如何防止在Android上自动运行不需要的预装应用程序? [复制]  ( How can i prevent unwanted pre installed apps from automatically running on andr ) 
这个问题已经在这里有一个答案: 关闭 8年前。 可能的重复: 如何停止运行的应用程序和服务? 因为我无法卸载用手机附带的某些程序(我的案例htc欲望(不是rooted))如何防止某些应用程序...

1  如何修复破碎的联系人存储(Droid 3 V2.3.4)?  ( How to fix broken contacts storage droid 3 v2 3 4 ) 
症状 我收到了从 com.motorola.contacts 的力关闭时,当我尝试编辑我的联系人 时 我可以查看我的联系人 这个问题立即开始,在我尝试删除Verizon推向我的手机的千磅捆绑的百磅捆绑包之后。 方法的途径 修复库存接触存储 com.motorola.Contacts依赖于哪种应用程序? (...

0  如何删除不允许卸载选项的应用程序而无需源智能手机? [复制]  ( How to remove apps which doesnt allow uninstall option without rooting smartpho ) 
这个问题已经在这里有答案: 卸载应用程序锁定的应用程序锁定的应用程序 (4个答案) ...

2  如何删除Alcatel文件管理器?  ( How to delete alcatel file manager ) 
我有一个触摸偶像3型号60451运行Android 6.0.1和它更新了几天前的文件管理器进入广告软件,无论我做了什么,都会重新安装自身。我尝试了我在互联网上找到的一切,包括这个"boost" / file manager app一个真正的系统应用程序或恶意软件?。 我在Google Play中如建议和停止的自动更新...




© 2022 it.wenda123.org All Rights Reserved. 问答之家 版权所有