为什么我的NVIDIA平板电脑寻找中国服务器(百度)? -- security 领域 和 logging 领域 和 bloatware 领域 android 相关 的问题

Why is my Nvidia tablet looking for chinese servers(baidu.com)?


5
vote

问题

中文

我不确定这是问题的正确区域,还是如果它甚至是一个大的交易,但我走了。 当使用NVIDIA平板电脑开发一个应用程序时,我意识到它正在尝试在中国到达服务器。这对我来说并不有意义,因为我没有任何我认为会尝试这样做的应用程序。我想知道的是,如果这是安全问题?

  02-12 14:09:32.448  11220-11284/? E/sdkstat﹕ sdkstat send error++++++java.net.UnknownHostException: Unable to resolve host "hmma.baidu.com": No address associated with hostname   
英文原文

I am not sure if this is the right area for the question, or if it is even a big deal, but here i go. When using by Nvidia tablet to develop an app I realized that it was attempting to reach a server in china. this doesn't make sense to me because I don't have any apps that I would think would try to do this. What I would like to know is if this is a security concern?

02-12 14:09:32.448  11220-11284/? E/sdkstatxefxb9x95 sdkstat send error++++++java.net.UnknownHostException: Unable to resolve host "hmma.baidu.com": No address associated with hostname 
        
         
         

回答列表

1
 
vote

您可能希望读取 2016年2月在Citizenlab上的文章。 org

文章最相关的部分:

泄漏启动敏感数据

在应用程序启动时,我们观察了百度浏览器发送HTTP POST请求 https://hmma.baidu.com/app.gif

该HTTP请求的正文是谷拓的JSON文件。 JSON文件包含一个字段列表,其中包含有关电话和用户的各种细节,其中一些纯文本和其他加密。

json文件中的未加密字段包括:

  • O:用户的操作系统(例如,"Android" )
  • n:百度浏览器版本号
  • w,h:宽度和高度,屏幕以像素
  • GL:GPS坐标和最后GPS更新的时间

某些字段使用AES + ECB使用硬编码的ASCII编码键加密 h9YLQoINGWyOBYYk

然后base64编码。这些字段包括:

  • DD:IMEI号
  • II:一个包含手机的IMEI编号的字符串,编写的Android软件版信息的MD5散列
  • wl2:所有无线网络的列表及其MAC地址和信号强度

了解硬编码键,这些字段可以很容易地解密。这里可以使用用于解密这些字段的Python脚本的源代码。

然后有百度的响应(在citizenlab.org托管的pdf文件)。他们似乎没有看到收集此数据的问题,他们只是承认他们需要改进他们的加密:

百度努力以与最高安全标准的方式收集数据 用户隐私在行业中。我们根据隐私的服务条款披露了我们的习俗 这里详述的权利(中文): https://www.baidu.com/duty/yinsiquan。 html

我们感谢公民实验室,以便在传输中进行数据安全性,我们有 已经在确保任何此类传输将是安全的,这已经取得了实质性的进展。

所以Citizenlab的文章可能没有更多地描述你现在可以在网上看到的内容。

 

You might want to read this February 2016 article at citizenlab.org.

Most relevant part of the article:

Leaks sensitive data on startup

Upon application launch, we observed Baidu Browser sending an HTTP POST request to https://hmma.baidu.com/app.gif

The body of this HTTP request is a gzipped JSON file. The JSON file contains a list of fields with various details about the phone and the user, some in plain text and others encrypted.

Unencrypted fields in the JSON file include:

  • o: the userxe2x80x99s operating system (e.g., xe2x80x9cAndroidxe2x80x9d)
  • n: Baidu Browser version number
  • w, h: width and height, respectively, of the screen in pixels
  • gl: GPS coordinates and time of last GPS update

Some fields are encrypted using AES+ECB with the hard-coded ASCII-encoded key h9YLQoINGWyOBYYk

and then Base64 encoded. These fields include:

  • dd: IMEI number
  • ii: a string containing the phonexe2x80x99s IMEI number written backwards and an MD5 hash of Android software version information
  • wl2: list of all in-range wireless networks and their MAC addresses and signal strengths

With knowledge of the hard-coded key, these fields can easily be decrypted. The source code for a python script for decrypting these fields is available here.

And then there's Baidu's response (PDF file hosted at citizenlab.org). They don't seem to see an issue in collecting this data, they just acknowledge that they need to improve their encryption:

Baidu endeavors to collect data in a way consistent with the highest standards of security and user privacy in the industry. We disclose our practices in our terms of service under privacy rights as detailed here (Chinese): https://www.baidu.com/duty/yinsiquan.html

We're grateful of Citizen Lab for being mindful of data security in transmission and we have already made substantial progress toward ensuring that any such transmission will be secure.

So citizenlab's article is probably no morexc2xa0describing what you can see on the net nowadays.

 
 

相关问题

2  允许使用多个密码登录  ( Allow login with multiple passwords ) 
是否可以为android设置多个接受的密码?或许也许是另一种安全登录。 (注意:面部识别和指纹是否为计数为安全,但RSA / NFC键将计数。) 如果我输入mysecretpassword1它登录,但它也接受myotherpassword2。 我正在寻找一个电话(注2)解决方案,而不是平板电脑。我不是在寻找多个用户帐...

12  是否有任何WEP开裂应用程序可用于Android?  ( Is there any wep cracking application available for android ) 
是否有任何用于Android的WEP开裂应用程序? 如果不是在技术上可以在平均Android手机上提供的API和硬件在技术上开裂? 这是一个纯粹的学术问题,请留出伦理的论点。 ...

0  Google照片在公共WiFi上是安全的  ( Is google photos synchronisation secure on public wifi ) 
可以有人(公共NW或入侵者的所有者)在中间攻击中执行男人,并在他们在公共WiFi同步时窃取照片吗? 假设他们在我的手机上没有任何控制,只是通过嗅着包装器,有人可以偷看照片吗? ...

11  我可以在Android手机上创建受限制的配置文件吗?  ( Can i create a restricted profile on an android cellphone ) 
背景 我想防止自己在我的手机上观看色情内容。我偶尔会去上瘾的支持小组,但还没有完成他们推荐的十二步。我希望,如果我设置了一个充分良好的过滤设置,我可以在不执行这些步骤的情况下至少有点确定。 我曾经使用 App Locker以前称为Smart Applock ,以防止自己安装我通常用于查看色情内容的应用程序。但是App...

3  只需通过访问或点击页面上的链接即可安装应用程序在Android手机上安装  ( Can application be installed on an android phone without confirmation just by v ) 
我去了putlocker,然后有一些弹出窗口说一些关于系统错误的东西,然后是这样的另一个: 在那一刻,我关掉了手机。但在我到达上面的屏幕之前,我想我点击了骗局页面上的"查找更多详细信息" 。我谷歌唱了一点,当然我发现这是一个骗局,欺骗我安装恶意软件。现在的问题是,是可以在我的手机上安装或已安装任何东西吗? I ...

8  如何更改SELinux在三星Galaxy Note 3上执行允许?  ( How can i change selinux from enforcing to permissive on samsung galaxy note 3 ) 
我的设备是三星Galaxy Note 3 SM-N9005。 此手机附带SELinux设置为默认情况下执行。 我一直在尝试将其更改为宽容,但无济于。 我从Samsung指令之后的源代码中构建了内核,并在Ramdisk中添加了一行到init.rc文件:"setEnforce 0" ,而这效果,但是WiFi破坏了,我并非...

0  意外我卸载了我的家庭发射器  ( Accidentally i have uninstalled my home launcher ) 
我的手机中没有启动器。我也打开并打开了。它只有Samsung别无他物.My设备已经植根了,我认为通过工厂数据重置它会起作用,但现在我甚至无法打开恢复模式。我猜我的手机是空的。请帮我解决它。 ...

3  无论如何都要连接到WPA企业Wi-Fi网络,在摩托罗拉Backflip上有1.5版?  ( Is there anyway to connect to a wpa enterprise wi fi network with version 1 5 on ) 
添加新Wi-Fi网络时唯一可用的安全选项是: 没有 wep WPA个人 WPA2个人 我希望通过将它添加到列表中或查找工作原/黑客来连接到WPA企业。 ...

9  有没有办法讲述他们的Android设备是否已加密或不进行加密?  ( Is there a way for a user to tell if their android device is encrypted or not ) 
上有一个半相关线程 https://stackoverflow.com/问题/ 12640708 / check-if-android-filesystem-in-cregrypted 这解释了开发人员如何确定是否启用了全磁盘加密,但有没有用户知道的简单方法?我尝试加密(我在4.4.2),似乎在某些时候失败,但没有...

1  内部存储中的可疑目录“.mysecurityData”  ( Suspicious directory mysecuritydata in internal storage ) 
我有一个Galaxy Note(N7000)设备运行股票和谐4.1.2。我正在浏览内部存储,并注意到一个名为".mysecurityData" 的目录,其中包含一个单个目录"dont_remove" ,其中包含多个目录,其名称由长度32的十六进制字符组成(概述MD5哈希)。所有这些第3级目录包含三个目录 - ".ma...

59  是否有任何工具到Sandbox一个恶意软件应用程序,甚至超过Android的授权权限?  ( Are there any tools to sandbox a malware application even more than the granted ) 
假设我想运行一些请求太多权限的程序。例如,从麦克风记录或读取我手机的IMEI。但是,除了数据挖掘之外,没有实际解释为什么需要从MIC或IMEI编号记录此特定应用程序。 我想尝试这个应用程序,而是限制其权限。例如,如果它读取IMEI,则它应该随机IMEI(但每次相同)。如果它试图阅读麦克风,它应该沉默。 一些其他有趣的...

7  从我的设备上的Gmail注销  ( Logout from gmail on my device ) 
令我困扰我的Android手机将永久登录我的Gmail帐户。 我想从设备退出,以某种方式使手机在连接到我的帐户时询问用户名/密码。 似乎没有这样的选择。我的选择是什么? p.s。请不要建议在不使用时锁定手机。我已经这样做了。 ...

55  Android真的需要杀毒吗?  ( Is an antivirus really needed for android ) 
我现在使用Linux半十年,所以我不习惯再处理病毒了。令我惊讶的是,我在Android中看到了关于杀毒剂的一些讨论。我还没有安装任何东西,但这个错误我:他们真的是必要吗?是否有(或者)市场中的任何已知病毒?在允许应用程序到市场之前,谷歌不运行防病毒吗? 我在Android一年内没有任何问题,但我的手机有很多重要信息,...

25  证书安装,无需强制PIN锁屏  ( Certificate install without mandatory pin lockscreen ) 
谷歌支持说 可以通过系统预先确定可接受的锁定类型 管理员。 我可以在哪里定义可接受的内容?如果需要,我可以重新生成证书。 所以我可以再次使用幻灯片锁定屏幕。 (我正在使用cm9 rc1,android 4.0.4) ...

3  出厂重置后定位盗窃手机  ( Locating stolen phone after factory reset ) 
我假设任何合理的小偷会尽快擦拭手机,从而删除任何跟踪应用程序和用户帐户。 我有一种方法可以以任何方式跟踪手机吗? 可能的方法是使用嵌入在自定义ROM中的跟踪应用程序(和它的配置)。 ...




© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有


Licensed under cc by-sa 3.0 with attribution required.