文章來源:E安全 http://goo.gl/EShgDm
全文轉載,內容轉繁體。
國外兩大安全公司證實傲游瀏覽器(Maxthon)收集使用者敏感資訊同時送至伺服器,
即使使用者選擇退出也無濟於事。
安全公司Exatel與 Fidelis Cybersecurity發布報告稱,傲遊瀏覽器在“使用者體
驗改善計劃”(User Experience Improvement Program ,UEIP)中收集使用者敏感資訊。
UEIP允許傲遊瀏覽器開發公司收集使用者瀏覽器使用分析資料。
從一定程度上講,所有瀏覽器均採取這種做法,包括熱門瀏覽器Firefox和Chrome。
http://i.imgur.com/3h5Bsee.jpg
收集過多資訊 超出正常接受範圍
Exatel 和Fidelis聲稱,傲遊瀏覽器正收集更多正常接受範圍之外的資訊。
傲遊瀏覽器收集的資訊包括:OS版本、螢幕解析度、CPU類型、
CPU速度、安裝的記憶體量、傲遊瀏覽器可執行位置、
廣告過濾器狀態、瀏覽器首頁URL、使用者的整個瀏覽歷史、
所有Google搜尋、系統安裝的其它應用程式清單,包括版本號。
Exatel表示,這些封包含在名為ueipdat.zip的檔案內,
透過HTTP定期從使用者瀏覽器傳送至傲游瀏覽器的中國伺服器。
研究人員在ueipdat.zip檔案內發現名為dat.txt的加密檔案。
Exatel稱能使用密碼短語(passphrase)
密碼 eu3o4[r04cml4eir破解這個AES-128-ECB加密密碼,
結果發現傲遊瀏覽器二進位記憶體在硬編碼。
Dat.txt包含所有上述資料。
漏洞或故意設計?
傲遊未直接答復Exatel的詢問,但使用者在論壇抨擊該公司。
北京傲游天下科技有限公司的代表回應稱,當使用者選擇加入UEIP排程時,
瀏覽器會收集所有上述所提的敏感資訊,但當他們退出時,
傲遊瀏覽器只會收集瀏覽器狀態相關的基本資訊,而非任何使用者具體資訊。
Exatel 與Fidelis則表示,事實並非如此。
它們經過測試發現,離開UEIP計劃後,
傲遊瀏覽器仍將同樣的資料傳送至伺服器。
http://i.imgur.com/3h5Bsee.jpg
先前,Citizen Lab的安全與隱私研究員在QQ瀏覽器(2013年3月)、
百度瀏覽器(2016年2月)以及UC瀏覽器(2015年5月)發現同樣的情況。
外媒聯絡到北京傲游天下科技有限公司CEO陳明傑(Jeff Chen),
他表示,傲遊非常重視Exatel的報告,並會全面調查此事。
---------------------------------------------------------------------
同場加映,傲遊CEO陳明傑(Jeff Chen)於傲遊英文論壇的回應。
http://goo.gl/vJQOHd
這裡有人機翻中文。
http://goo.gl/I2E2aS
看了大意如下:
傲遊的使用者體驗改善計劃(UEIP),
在選項關閉時本該不收集使用者資訊,
但因為BUG的緣故,所以關閉以後仍會收集資訊。
然後解釋收集URL的原因,是為了過濾惡意網站(雲安全)
不過收集Google搜尋記錄、瀏覽歷史記錄,
還有收集安裝的軟體清單(包括版本號),這些沒有解釋阿。
令人慶幸的是,傲遊並沒有收集信用卡資料XD
--
閉嘴!我們在討論言論自由。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.8.13
※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1468671052.A.EE2.html
→
07/16 20:15, , 1F
07/16 20:15, 1F
→
07/16 20:15, , 2F
07/16 20:15, 2F
→
07/16 20:56, , 3F
07/16 20:56, 3F
其實說到隱私,Google Chrome預設的設定也是會收集個人資料的(要手動關閉),
另外還有個SRWare Iron的八卦,明天再寫。
※ 編輯: zhtw (1.175.8.13), 07/16/2016 21:08:16
推
07/16 23:02, , 4F
07/16 23:02, 4F
推
07/16 23:25, , 5F
07/16 23:25, 5F
→
07/16 23:27, , 6F
07/16 23:27, 6F
→
07/16 23:28, , 7F
07/16 23:28, 7F
→
07/16 23:29, , 8F
07/16 23:29, 8F
→
07/16 23:31, , 9F
07/16 23:31, 9F
→
07/16 23:31, , 10F
07/16 23:31, 10F
→
07/16 23:33, , 11F
07/16 23:33, 11F
→
07/16 23:33, , 12F
07/16 23:33, 12F
推
07/16 23:58, , 13F
07/16 23:58, 13F
推
07/17 00:29, , 14F
07/17 00:29, 14F
→
07/17 10:27, , 15F
07/17 10:27, 15F
→
07/17 14:58, , 16F
07/17 14:58, 16F
推
07/17 15:20, , 17F
07/17 15:20, 17F
推
07/19 09:50, , 18F
07/19 09:50, 18F