文章來源:E安全 http://goo.gl/EShgDm
全文轉載,內容轉繁體。
國外兩大安全公司證實傲游瀏覽器(Maxthon)收集使用者敏感資訊同時送至伺服器,
即使使用者選擇退出也無濟於事。
安全公司Exatel與 Fidelis Cybersecurity發布報告稱,傲遊瀏覽器在“使用者體
驗改善計劃”(User Experience Improvement Program ,UEIP)中收集使用者敏感資訊。
UEIP允許傲遊瀏覽器開發公司收集使用者瀏覽器使用分析資料。
從一定程度上講,所有瀏覽器均採取這種做法,包括熱門瀏覽器Firefox和Chrome。
http://i.imgur.com/3h5Bsee.jpg
收集過多資訊 超出正常接受範圍
Exatel 和Fidelis聲稱,傲遊瀏覽器正收集更多正常接受範圍之外的資訊。
傲遊瀏覽器收集的資訊包括:OS版本、螢幕解析度、CPU類型、
CPU速度、安裝的記憶體量、傲遊瀏覽器可執行位置、
廣告過濾器狀態、瀏覽器首頁URL、使用者的整個瀏覽歷史、
所有Google搜尋、系統安裝的其它應用程式清單,包括版本號。
Exatel表示,這些封包含在名為ueipdat.zip的檔案內,
透過HTTP定期從使用者瀏覽器傳送至傲游瀏覽器的中國伺服器。
研究人員在ueipdat.zip檔案內發現名為dat.txt的加密檔案。
Exatel稱能使用密碼短語(passphrase)
密碼 eu3o4[r04cml4eir破解這個AES-128-ECB加密密碼,
結果發現傲遊瀏覽器二進位記憶體在硬編碼。
Dat.txt包含所有上述資料。
漏洞或故意設計?
傲遊未直接答復Exatel的詢問,但使用者在論壇抨擊該公司。
北京傲游天下科技有限公司的代表回應稱,當使用者選擇加入UEIP排程時,
瀏覽器會收集所有上述所提的敏感資訊,但當他們退出時,
傲遊瀏覽器只會收集瀏覽器狀態相關的基本資訊,而非任何使用者具體資訊。
Exatel 與Fidelis則表示,事實並非如此。
它們經過測試發現,離開UEIP計劃後,
傲遊瀏覽器仍將同樣的資料傳送至伺服器。
http://i.imgur.com/3h5Bsee.jpg
先前,Citizen Lab的安全與隱私研究員在QQ瀏覽器(2013年3月)、
百度瀏覽器(2016年2月)以及UC瀏覽器(2015年5月)發現同樣的情況。
外媒聯絡到北京傲游天下科技有限公司CEO陳明傑(Jeff Chen),
他表示,傲遊非常重視Exatel的報告,並會全面調查此事。