[-Mx-] 外媒:遨游浏览器收集使用者敏感资讯
楼主: unknown (ya) 2016-07-16 20:10:46
文章来源:E安全 http://goo.gl/EShgDm
全文转载,内容转繁体。
国外两大安全公司证实傲游浏览器(Maxthon)收集使用者敏感资讯同时送至服务器,
即使使用者选择退出也无济于事。
安全公司Exatel与 Fidelis Cybersecurity发布报告称,傲游浏览器在“使用者体
验改善计划”(User Experience Improvement Program ,UEIP)中收集使用者敏感资讯。
UEIP允许傲游浏览器开发公司收集使用者浏览器使用分析资料。
从一定程度上讲,所有浏览器均采取这种做法,包括热门浏览器Firefox和Chrome。
![]()
收集过多资讯 超出正常接受范围
Exatel 和Fidelis声称,傲游浏览器正收集更多正常接受范围之外的资讯。
傲游浏览器收集的资讯包括:OS版本、萤幕分辨率、CPU类型、
CPU速度、安装的内存量、傲游浏览器可执行位置、
广告过滤器状态、浏览器首页URL、使用者的整个浏览历史、
所有Google搜寻、系统安装的其它应用程式清单,包括版本号。
Exatel表示,这些封包含在名为ueipdat.zip的档案内,
透过HTTP定期从使用者浏览器传送至傲游浏览器的中国服务器。
研究人员在ueipdat.zip档案内发现名为dat.txt的加密档案。
Exatel称能使用密码短语(passphrase)
密码 eu3o4[r04cml4eir破解这个AES-128-ECB加密密码,
结果发现傲游浏览器二进制内存在硬编码。
Dat.txt包含所有上述资料。
漏洞或故意设计?
傲游未直接答复Exatel的询问,但使用者在论坛抨击该公司。
北京傲游天下科技有限公司的代表回应称,当使用者选择加入UEIP排程时,
浏览器会收集所有上述所提的敏感资讯,但当他们退出时,
傲游浏览器只会收集浏览器状态相关的基本资讯,而非任何使用者具体资讯。
Exatel 与Fidelis则表示,事实并非如此。
它们经过测试发现,离开UEIP计划后,
傲游浏览器仍将同样的资料传送至服务器。
![]()
先前,Citizen Lab的安全与隐私研究员在QQ浏览器(2013年3月)、
百度浏览器(2016年2月)以及UC浏览器(2015年5月)发现同样的情况。
外媒联络到北京傲游天下科技有限公司CEO陈明杰(Jeff Chen),
他表示,傲游非常重视Exatel的报告,并会全面调查此事。
全文转载,内容转繁体。
国外两大安全公司证实傲游浏览器(Maxthon)收集使用者敏感资讯同时送至服务器,
即使使用者选择退出也无济于事。
安全公司Exatel与 Fidelis Cybersecurity发布报告称,傲游浏览器在“使用者体
验改善计划”(User Experience Improvement Program ,UEIP)中收集使用者敏感资讯。
UEIP允许傲游浏览器开发公司收集使用者浏览器使用分析资料。
从一定程度上讲,所有浏览器均采取这种做法,包括热门浏览器Firefox和Chrome。
收集过多资讯 超出正常接受范围
Exatel 和Fidelis声称,傲游浏览器正收集更多正常接受范围之外的资讯。
傲游浏览器收集的资讯包括:OS版本、萤幕分辨率、CPU类型、
CPU速度、安装的内存量、傲游浏览器可执行位置、
广告过滤器状态、浏览器首页URL、使用者的整个浏览历史、
所有Google搜寻、系统安装的其它应用程式清单,包括版本号。
Exatel表示,这些封包含在名为ueipdat.zip的档案内,
透过HTTP定期从使用者浏览器传送至傲游浏览器的中国服务器。
研究人员在ueipdat.zip档案内发现名为dat.txt的加密档案。
Exatel称能使用密码短语(passphrase)
密码 eu3o4[r04cml4eir破解这个AES-128-ECB加密密码,
结果发现傲游浏览器二进制内存在硬编码。
Dat.txt包含所有上述资料。
漏洞或故意设计?
傲游未直接答复Exatel的询问,但使用者在论坛抨击该公司。
北京傲游天下科技有限公司的代表回应称,当使用者选择加入UEIP排程时,
浏览器会收集所有上述所提的敏感资讯,但当他们退出时,
傲游浏览器只会收集浏览器状态相关的基本资讯,而非任何使用者具体资讯。
Exatel 与Fidelis则表示,事实并非如此。
它们经过测试发现,离开UEIP计划后,
傲游浏览器仍将同样的资料传送至服务器。
先前,Citizen Lab的安全与隐私研究员在QQ浏览器(2013年3月)、
百度浏览器(2016年2月)以及UC浏览器(2015年5月)发现同样的情况。
外媒联络到北京傲游天下科技有限公司CEO陈明杰(Jeff Chen),
他表示,傲游非常重视Exatel的报告,并会全面调查此事。
作者: darKyle (飘向星空) 2016-07-16 20:15:00
过滤网站...Google的黑名单都可以预先下载了 它数据库有比Google大?
作者: sam613 (Hikaru) 2016-07-16 20:56:00
对岸的东西不收集个资才是新闻好不好
作者: ssarc (ftb) 2016-07-16 23:02:00
原来是BUG阿.......(笑)
作者: s25g5d4 (function(){})() 2016-07-16 23:25:00
假的!我的浏览器业障重阿
作者: t7yang (t7: 我认为这是一种背叛) 2016-07-16 23:27:00
海涛:假的!!!!!! 这是BUG啊某:神龙,我想要学一招举世无双、堪比地图砲的大绝神龙:你大声喊:有BUG就好了老板:脸要厚,心要黑,敢敢作 员工:被人发现怎么办老板:说有BUG有就好了话说板主可以开放申请板标吗?我有好多话想说定一个办法如何,譬如申请核准后可以挂最多一个礼拜之类的
作者: ppon (我可以跳着说吗) 2016-07-16 23:58:00
看吧 中国出品的东西不意外 当初谁还把这浏览器捧成什么一样
作者: karst10607 (谁可以协助我开板?) 2016-07-17 00:29:00
t7点子不错,我来研究看看怎么作
作者: doom3 (ⓓⓞⓞⓜ③ ) 2016-07-17 10:27:00
eu3o4[r04cml4eir 这么长的密码都能破解 现在科技真强
作者: sheilarea200 (某位仁兄) 2016-07-17 14:58:00
应该是为了过滤会伤害玻璃心的恶意网站
作者: kaoh08 (AIR -the 1000th summer-) 2016-07-17 15:20:00
蒐集资讯是为了保护使用者(不要碎满地
作者: woodghost 2016-07-19 09:50:00
破解那么长的密码是因为它直接写死在程式码里(笑)