[-Mx-] 外媒：遨游瀏覽器收集使用者敏感資訊

看板Browsers作者zhtw時間7年前 (2016/07/16 20:10)推噓6(6推 0噓 12→)

留言18則, 11人參與討論串1/1

文章來源：E安全 http://goo.gl/EShgDm 全文轉載，內容轉繁體。國外兩大安全公司證實傲游瀏覽器(Maxthon)收集使用者敏感資訊同時送至伺服器，即使使用者選擇退出也無濟於事。安全公司Exatel與 Fidelis Cybersecurity發布報告稱，傲遊瀏覽器在“使用者體驗改善計劃”（User Experience Improvement Program ,UEIP）中收集使用者敏感資訊。 UEIP允許傲遊瀏覽器開發公司收集使用者瀏覽器使用分析資料。從一定程度上講，所有瀏覽器均採取這種做法，包括熱門瀏覽器Firefox和Chrome。 http://i.imgur.com/3h5Bsee.jpg

收集過多資訊超出正常接受範圍 Exatel 和Fidelis聲稱，傲遊瀏覽器正收集更多正常接受範圍之外的資訊。傲遊瀏覽器收集的資訊包括：OS版本、螢幕解析度、CPU類型、 CPU速度、安裝的記憶體量、傲遊瀏覽器可執行位置、廣告過濾器狀態、瀏覽器首頁URL、使用者的整個瀏覽歷史、所有Google搜尋、系統安裝的其它應用程式清單，包括版本號。 Exatel表示，這些封包含在名為ueipdat.zip的檔案內，透過HTTP定期從使用者瀏覽器傳送至傲游瀏覽器的中國伺服器。研究人員在ueipdat.zip檔案內發現名為dat.txt的加密檔案。 Exatel稱能使用密碼短語(passphrase) 密碼 eu3o4[r04cml4eir破解這個AES-128-ECB加密密碼，結果發現傲遊瀏覽器二進位記憶體在硬編碼。 Dat.txt包含所有上述資料。漏洞或故意設計？傲遊未直接答復Exatel的詢問，但使用者在論壇抨擊該公司。北京傲游天下科技有限公司的代表回應稱，當使用者選擇加入UEIP排程時，瀏覽器會收集所有上述所提的敏感資訊，但當他們退出時，傲遊瀏覽器只會收集瀏覽器狀態相關的基本資訊，而非任何使用者具體資訊。 Exatel 與Fidelis則表示，事實並非如此。它們經過測試發現，離開UEIP計劃後，傲遊瀏覽器仍將同樣的資料傳送至伺服器。 http://i.imgur.com/3h5Bsee.jpg

先前，Citizen Lab的安全與隱私研究員在QQ瀏覽器（2013年3月）、百度瀏覽器（2016年2月）以及UC瀏覽器（2015年5月）發現同樣的情況。外媒聯絡到北京傲游天下科技有限公司CEO陳明傑(Jeff Chen)，他表示，傲遊非常重視Exatel的報告，並會全面調查此事。 --------------------------------------------------------------------- 同場加映，傲遊CEO陳明傑(Jeff Chen)於傲遊英文論壇的回應。 http://goo.gl/vJQOHd 這裡有人機翻中文。 http://goo.gl/I2E2aS 看了大意如下：傲遊的使用者體驗改善計劃(UEIP)，在選項關閉時本該不收集使用者資訊，但因為BUG的緣故，所以關閉以後仍會收集資訊。然後解釋收集URL的原因，是為了過濾惡意網站(雲安全) 不過收集Google搜尋記錄、瀏覽歷史記錄，還有收集安裝的軟體清單(包括版本號)，這些沒有解釋阿。令人慶幸的是，傲遊並沒有收集信用卡資料XD -- 閉嘴！我們在討論言論自由。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.8.13 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1468671052.A.EE2.html

→

darKyle

07/16 20:15, , 1^F

07/16 20:15, 1^F

→

darKyle

07/16 20:15, , 2^F

07/16 20:15, 2^F

→

sam613

07/16 20:56, , 3^F

07/16 20:56, 3^F