陈丹的博客感谢E安全的投递
国外两大安全公司证实傲游浏览器(Maxthon)收集用户敏感信息并发送至服务器,即使用户选择退出也无济于事。安全公司Exatel与 Fidelis Cybersecurity发布报告称,傲游浏览器在“用户体验改善计划”(User Experience Improvement Program ,UEIP)中收集用户敏感信息。
UEIP允许傲游浏览器开发公司收集用户浏览器使用分析数据。从一定程度上讲,所有浏览器均采纳这种做法,包括热门浏览器Firefox和Chrome。
收集过多信息 超出正常接受范围
Exatel 和Fidelis声称,遨游浏览器正收集更多正常接受范围之外的信息。
傲游浏览器收集的信息包括:OS版本、屏幕分辨率、CPU类型、CPU速度、安装的内存量、遨游浏览器可执行位置、广告拦截器状态、浏览器首页URL、用户的整个浏览历史、所有Google搜索、系统安装的其它应用程序列表,包括版本号。
Exatel表示,这些数据包含在名为ueipdat.zip的文件内,通过HTTP定期从用户浏览器发送至傲游浏览器的中国服务器。
研究人员在ueipdat.zip文件内发现名为dat.txt的加密文件。Exatel称能使用
密码短语(passphrase)口令 eu3o4[r04cml4eir破解这个AES-128-ECB加密密码,结果发现遨游浏览器二进制内存在硬编码。Dat.txt包含所有上述数据。
漏洞或故意设计?
傲游未直接答复Exatel的询问,但用户在论坛抨击该公司。北京傲游天下科技有限公司的代表回应称,当用户选择加入UEIP计划时,浏览器会收集所有上述所提的敏感信息,但当他们退出时,傲游浏览器只会收集浏览器状态相关的基本信息,而非任何用户具体信息。
Exatel 与Fidelis则表示,事实并非如此。它们经过测试发现,退出UEIP计划后,傲游浏览器仍将同样的数据发送至服务器。
先前,Citizen Lab的安全与隐私研究员在QQ浏览器(2013年3月)、百度浏览器(2016年2月)以及UC浏览器(2015年5月)发现同样的情况。
外媒联系到北京傲游天下科技有限公司CEO陈明杰(Jeff Chen),他表示,傲游非常重视Exatel的报告,并会全面调查此事。
未经允许不得转载:陈丹的博客 » 海外安全公司警告傲游(Maxthon)浏览器收集详尽的计算机信息