文章來源：E安全 http://goo.gl/EShgDm 全文轉載，內容轉繁體。 國外兩大安全公司證實傲游瀏覽器(Maxthon)收集使用者敏感資訊同時送至伺服器， 即使使用者選擇退出也無濟於事。 安全公司Exatel與 Fidelis Cybersecurity發布報告稱，傲遊瀏覽器在“使用者體 驗改善計劃”（User Experience Improvement Program ,UEIP）中收集使用者敏感資訊。 UEIP允許傲遊瀏覽器開發公司收集使用者瀏覽器使用分析資料。 從一定程度上講，所有瀏覽器均採取這種做法，包括熱門瀏覽器Firefox和Chrome。 http://i.imgur.com/3h5Bsee.jpg 收集過多資訊 超出正常接受範圍 Exatel 和Fidelis聲稱，傲遊瀏覽器正收集更多正常接受範圍之外的資訊。 傲遊瀏覽器收集的資訊包括：OS版本、螢幕解析度、CPU類型、 CPU速度、安裝的記憶體量、傲遊瀏覽器可執行位置、 廣告過濾器狀態、瀏覽器首頁URL、使用者的整個瀏覽歷史、 所有Google搜尋、系統安裝的其它應用程式清單，包括版本號。 Exatel表示，這些封包含在名為ueipdat.zip的檔案內， 透過HTTP定期從使用者瀏覽器傳送至傲游瀏覽器的中國伺服器。 研究人員在ueipdat.zip檔案內發現名為dat.txt的加密檔案。 Exatel稱能使用密碼短語(passphrase) 密碼 eu3o4[r04cml4eir破解這個AES-128-ECB加密密碼， 結果發現傲遊瀏覽器二進位記憶體在硬編碼。 Dat.txt包含所有上述資料。 漏洞或故意設計？ 傲遊未直接答復Exatel的詢問，但使用者在論壇抨擊該公司。 北京傲游天下科技有限公司的代表回應稱，當使用者選擇加入UEIP排程時， 瀏覽器會收集所有上述所提的敏感資訊，但當他們退出時， 傲遊瀏覽器只會收集瀏覽器狀態相關的基本資訊，而非任何使用者具體資訊。 Exatel 與Fidelis則表示，事實並非如此。 它們經過測試發現，離開UEIP計劃後， 傲遊瀏覽器仍將同樣的資料傳送至伺服器。 http://i.imgur.com/3h5Bsee.jpg 先前，Citizen Lab的安全與隱私研究員在QQ瀏覽器（2013年3月）、 百度瀏覽器（2016年2月）以及UC瀏覽器（2015年5月）發現同樣的情況。 外媒聯絡到北京傲游天下科技有限公司CEO陳明傑(Jeff Chen)， 他表示，傲遊非常重視Exatel的報告，並會全面調查此事。 --------------------------------------------------------------------- 同場加映，傲遊CEO陳明傑(Jeff Chen)於傲遊英文論壇的回應。 http://goo.gl/vJQOHd 這裡有人機翻中文。 http://goo.gl/I2E2aS 看了大意如下： 傲遊的使用者體驗改善計劃(UEIP)， 在選項關閉時本該不收集使用者資訊， 但因為BUG的緣故，所以關閉以後仍會收集資訊。 然後解釋收集URL的原因，是為了過濾惡意網站(雲安全) 不過收集Google搜尋記錄、瀏覽歷史記錄， 還有收集安裝的軟體清單(包括版本號)，這些沒有解釋阿。 令人慶幸的是，傲遊並沒有收集信用卡資料XD -- 閉嘴！我們在討論言論自由。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.8.13 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1468671052.A.EE2.html 其實說到隱私，Google Chrome預設的設定也是會收集個人資料的(要手動關閉)， 另外還有個SRWare Iron的八卦，明天再寫。 ※ 編輯: zhtw (1.175.8.13), 07/16/2016 21:08:16