百度浏览器和App传送个资时防护不够。（路透）

加拿大多伦多大学研究单位“公民实验室”23日发布报告指出，Android及Windows版本的大陆百度浏览器和应用程式不但会搜集并回传用户资料，且加密薄弱，容易成为骇客入侵窃取个资的对象。

报告指出，Android版的百度浏览器会将用户的GPS定位、上次登入时间、搜寻词汇以及未加密的网址传送回百度伺服器；浏览器也会传送手机的行动通讯国际识别码（IMEI）、用户附近的无线网路、网卡实体位址（MAC）甚至是讯号强度，且皆在加密程度薄弱的状况下进行。

另外，Android版百度浏览器安全防护薄弱，容易遭到在网路传输中拦截并窃取资料的“中间人攻击”，不过这项缺失已经修正。

公民实验室指出，Windows版本的百度程式也会将用户网路搜寻资料传回伺服器，且在很容易破解的加密环境下传送用户各种资料，包括电脑硬碟型号和序号、控制器版本号码、电脑网卡实体位址、造访过的网址和网页名称、中央处理器（CPU）型号以及档案系统磁碟区序号等。

Windows版本的百度在更新时安全性同样薄弱，不过现在会检查下载档案的特征码。

百度回应表示，浏览器搜集的资料储存于“具国家等级安全性”的资料中心。他们强调，搜集数据皆在业界最高标准的安全环境进行，确保用户隐私，保证维护用户资料安全；百度在法律范围内和第三方分享部分资料，但不会外泄敏感的用户个资。

不过百度的回应并未说明它为何搜集这些资料，只强调会不断强化安全性。公民实验室延后发表报告，以给百度时间改善，但结果显示进展不大。