文章来源:E安全 http://goo.gl/EShgDm
全文转载,内容转繁体。
国外两大安全公司证实傲游浏览器(Maxthon)收集使用者敏感资讯同时送至服务器,
即使使用者选择退出也无济于事。
安全公司Exatel与 Fidelis Cybersecurity发布报告称,傲游浏览器在“使用者体
验改善计划”(User Experience Improvement Program ,UEIP)中收集使用者敏感资讯。
UEIP允许傲游浏览器开发公司收集使用者浏览器使用分析资料。
从一定程度上讲,所有浏览器均采取这种做法,包括热门浏览器Firefox和Chrome。
http://i.imgur.com/3h5Bsee.jpg
收集过多资讯 超出正常接受范围
Exatel 和Fidelis声称,傲游浏览器正收集更多正常接受范围之外的资讯。
傲游浏览器收集的资讯包括:OS版本、萤幕分辨率、CPU类型、
CPU速度、安装的内存量、傲游浏览器可执行位置、
广告过滤器状态、浏览器首页URL、使用者的整个浏览历史、
所有Google搜寻、系统安装的其它应用程式清单,包括版本号。
Exatel表示,这些封包含在名为ueipdat.zip的档案内,
透过HTTP定期从使用者浏览器传送至傲游浏览器的中国服务器。
研究人员在ueipdat.zip档案内发现名为dat.txt的加密档案。
Exatel称能使用密码短语(passphrase)
密码 eu3o4[r04cml4eir破解这个AES-128-ECB加密密码,
结果发现傲游浏览器二进制内存在硬编码。
Dat.txt包含所有上述资料。
漏洞或故意设计?
傲游未直接答复Exatel的询问,但使用者在论坛抨击该公司。
北京傲游天下科技有限公司的代表回应称,当使用者选择加入UEIP排程时,
浏览器会收集所有上述所提的敏感资讯,但当他们退出时,
傲游浏览器只会收集浏览器状态相关的基本资讯,而非任何使用者具体资讯。
Exatel 与Fidelis则表示,事实并非如此。
它们经过测试发现,离开UEIP计划后,
傲游浏览器仍将同样的资料传送至服务器。
http://i.imgur.com/3h5Bsee.jpg
先前,Citizen Lab的安全与隐私研究员在QQ浏览器(2013年3月)、
百度浏览器(2016年2月)以及UC浏览器(2015年5月)发现同样的情况。
外媒联络到北京傲游天下科技有限公司CEO陈明杰(Jeff Chen),
他表示,傲游非常重视Exatel的报告,并会全面调查此事。