于是找了台 android 设备来测试,发现了百度APP如此流氓的行为。
使用 百度APP 访问网页,会经过百度服务器的代理
使用百度APP访问,从日志中看到,访问记录中,客户端IP一直在变化,且根本不是用户本身的出口IP
再使用手机自带浏览器来访问,从日志中看到,每次访问的客户端IP都是一样的,且跟自己网络出口IP完全一致
由此可以得出:在百度APP中访问网页,会经过百度代理服务器。
危害
我们从百度APP访问网页,经过百度代理服务器,百度就可以利用中间人攻击技术,窥探用户隐私。就意味着我们所有访问记录包括数据,百度都有办法拿到。
包括:
你访问最多的网页是什么
如果你登录支付宝,访问账户页面,百度就可以知道你支付宝有多少钱
你登录淘宝,访问订单页面,百度就可以知道你买过哪些东西
比如:你每天访问P站多少次,最喜欢哪种类型的片子,百度都可以知道
总之,你的所有上网行为和数据百度都有办法拿到,至于百度利用这些来做什么,真的不敢想象。
当然,我想百度一定不会承认的。
ios的百度APP访问页面不会经过百度代理服务器
ios 的应用上架向来都是比较严格的,想测试下 ios 版本会不会存在这个问题。不过实际测试了下,发现 ios 版本,百度还是很老实的,并不会走代理服务器
ps: 现在android系统已经做起来了,不过国内的android应用市场真的需要整顿一下了!保护自己隐私,从卸载窃取隐私的app开始!
2020-05-15 更新:
有百度的同学看到这篇文章,跟我做了一些正常交流,解释了其中的”误会“:百度手机APP确实会走代理,但是只是代理http的请求,不会代理https请求,原因是为了保护用户数据,防止运营商流量劫持。
我的个人观点:
从技术上讲,百度完全可以拿到用户数据,至于有没有这么做,只有百度知道,如果真的有做,那将是非常恶劣的行为,权衡之下,可能不太敢拿用户数据,因为这个问题真的非常非常严重
使用代理的技术方案来解决流量劫持问题存在极大漏洞,技术上无法保证用户数据安全,完全靠人来控制是非常不可靠的
我个人仅表述自己看到的事实,其他的需要大家自己判断!
不,就算百度没有代理流量,百度的 app 也可以拿到数据,它照样可以在 app 里把数据上传给自己的服务器,所以这个代理 http 流量防止劫持是有道理的 ……
这个还是要区分,如果只是代理http,那百度确实是好意,但如果https也,那就100%的恶意。