作者(請與肥宅的我談戀愛!)
看板Browsers
標題[-Mx-] 外媒:遨游瀏覽器收集使用者敏感資訊
時間Sat Jul 16 20:10:46 2016
文章來源:E安全
http://goo.gl/EShgDm
全文轉載,內容轉繁體。
國外兩大安全公司證實傲游瀏覽器(Maxthon)收集使用者敏感資訊同時送至伺服器,
即使使用者選擇退出也無濟於事。
安全公司Exatel與 Fidelis Cybersecurity發布報告稱,傲遊瀏覽器在“使用者體
驗改善計劃”(User Experience Improvement Program ,UEIP)中收集使用者敏感資訊。
UEIP允許傲遊瀏覽器開發公司收集使用者瀏覽器使用分析資料。
從一定程度上講,所有瀏覽器均採取這種做法,包括熱門瀏覽器Firefox和Chrome。
http://i.imgur.com/3h5Bsee.jpg
收集過多資訊 超出正常接受範圍
Exatel 和Fidelis聲稱,傲遊瀏覽器正收集更多正常接受範圍之外的資訊。
傲遊瀏覽器收集的資訊包括:OS版本、螢幕解析度、CPU類型、
CPU速度、安裝的記憶體量、傲遊瀏覽器可執行位置、
廣告過濾器狀態、瀏覽器首頁URL、使用者的整個瀏覽歷史、
所有Google搜尋、系統安裝的其它應用程式清單,包括版本號。
Exatel表示,這些封包含在名為ueipdat.zip的檔案內,
透過HTTP定期從使用者瀏覽器傳送至傲游瀏覽器的中國伺服器。
研究人員在ueipdat.zip檔案內發現名為dat.txt的加密檔案。
Exatel稱能使用密碼短語(passphrase)
密碼 eu3o4[r04cml4eir破解這個AES-128-ECB加密密碼,
結果發現傲遊瀏覽器二進位記憶體在硬編碼。
Dat.txt包含所有上述資料。
漏洞或故意設計?
傲遊未直接答復Exatel的詢問,但使用者在論壇抨擊該公司。
北京傲游天下科技有限公司的代表回應稱,當使用者選擇加入UEIP排程時,
瀏覽器會收集所有上述所提的敏感資訊,但當他們退出時,
傲遊瀏覽器只會收集瀏覽器狀態相關的基本資訊,而非任何使用者具體資訊。
Exatel 與Fidelis則表示,事實並非如此。
它們經過測試發現,離開UEIP計劃後,
傲遊瀏覽器仍將同樣的資料傳送至伺服器。
http://i.imgur.com/3h5Bsee.jpg
先前,Citizen Lab的安全與隱私研究員在QQ瀏覽器(2013年3月)、
百度瀏覽器(2016年2月)以及UC瀏覽器(2015年5月)發現同樣的情況。
外媒聯絡到北京傲游天下科技有限公司CEO陳明傑(Jeff Chen),
他表示,傲遊非常重視Exatel的報告,並會全面調查此事。
---------------------------------------------------------------------
同場加映,傲遊CEO陳明傑(Jeff Chen)於傲遊英文論壇的回應。
http://goo.gl/vJQOHd
這裡有人機翻中文。
http://goo.gl/I2E2aS
看了大意如下:
傲遊的使用者體驗改善計劃(UEIP),
在選項關閉時本該不收集使用者資訊,
但因為BUG的緣故,所以關閉以後仍會收集資訊。
然後解釋收集URL的原因,是為了過濾惡意網站(雲安全)
不過收集Google搜尋記錄、瀏覽歷史記錄,
還有收集安裝的軟體清單(包括版本號),這些沒有解釋阿。
令人慶幸的是,傲遊並沒有收集信用卡資料XD
--
閉嘴!我們在討論言論自由。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.8.13
※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1468671052.A.EE2.html
→ darKyle: 過濾網站...Google的黑名單都可以預先下載了 它資料庫有 07/16 20:15
→ darKyle: 比Google大? 07/16 20:15
→ sam613: 對岸的東西不收集個資才是新聞好不好 07/16 20:56
其實說到隱私,Google Chrome預設的設定也是會收集個人資料的(要手動關閉),
另外還有個SRWare Iron的八卦,明天再寫。
※ 編輯: zhtw (1.175.8.13), 07/16/2016 21:08:16
推 ssarc: 原來是BUG阿.......(笑) 07/16 23:02
推 s25g5d4: 假的!我的瀏覽器業障重阿 07/16 23:25
→ t7yang: 海濤:假的!!!!!! 這是BUG啊 07/16 23:27
→ t7yang: 某:神龍,我想要學一招舉世無雙、堪比地圖砲的大絕 07/16 23:28
→ t7yang: 神龍:你大聲喊:有BUG就好了 07/16 23:29
→ t7yang: 老闆:臉要厚,心要黑,敢敢作 員工:被人發現怎麼辦 07/16 23:31
→ t7yang: 老闆:說有BUG有就好了 07/16 23:31
→ t7yang: 話說板主可以開放申請板標嗎?我有好多話想說 07/16 23:33
→ t7yang: 定一個辦法如何,譬如申請核准後可以掛最多一個禮拜之類的 07/16 23:33
推 ppon: 看吧 中國出品的東西不意外 當初誰還把這瀏覽器捧成什麼一樣 07/16 23:58
推 karst10607: t7點子不錯,我來研究看看怎麼作 07/17 00:29
→ doom3: eu3o4[r04cml4eir 這麼長的密碼都能破解 現在科技真強 07/17 10:27
→ sheilarea200: 應該是為了過濾會傷害玻璃心的惡意網站 07/17 14:58
推 kaoh08: 蒐集資訊是為了保護使用者(不要碎滿地 07/17 15:20
推 woodghost: 破解那麼長的密碼是因為它直接寫死在程式碼裡(笑) 07/19 09:50