Польский сайт DobreProgramy: браузер Maxthon шпионит за пользователями!


Recommended Posts

  • Возможно, вы уже видели сообщения о том, что Maxthon "шпионит" за пользователями (кавычки тут ибо мы ещё не разобрались в проблеме и дабы не нарваться на тутошние неприятности). И сходу в ситуации разобраться не получится. Поэтому я постараюсь перевести пару статей. Надеюсь, что в конце концов у нас появится хоть какое-то понимание того, что сейчас происходит. И начнём мы, пожалуй, со статьи польского сайта DobreProgramy. Она, конечно, не была первой, но суть проблемы объясняет весьма доходчиво.

 

Maxthon превратился в шпиона:
Польские специалисты по безопасности обнаружили скрытую передачу данных пользователей на китайские серверы

Совсем недавно на сайте Zaufanej Trzeciej Strony был опубликован анализ безопасности китайского браузера Maxthon, который популярен также и у нас в Польше. Её авторы - Центр операционной безопасности компании Exatel SA, оператора, специализирующегося на телекоммуникационных услугах для бизнеса. Если вы читаете этот текст в Maxthon, лучше сразу закройте браузер и откройте статью в чём-то другом. Дело в том, что Maxthon без ведома пользователей "переговариваться" с серверами в Китае, передавая им довольно интересные вещи...

Обнаружили это совершенно случайно: используемая для мониторинга локальной сети система Fidelis регулярно сообщала об "инцидентах", суть которых заключалась в отправке данных на внешней сервер по протоколу HTTP методом POST, как работают, например, прикреплённые к электронному письму файлы. Получателем был сервер в Пекине, а данные включали себя файл ueipdata.zip весом в несколько сотен байт.

g_-_-x-_-_-_74766x20160714162338_0.png
 

Анализ данных Fidelis показал, что внутри этого архива находится сжатый файл dat.txt. Но, несмотря на расширение, это вовсе не текстовый файл, как можно было подумать, а двоичный. Заявленный тип файла - image/pjpeg, то есть картинка. Сама же "картинка" - результат работы либо  генератора случайных чисел, либо шифрования. Кроме того, в содержание пакета были и довольно любопытная фраза: IllBeVerySurprisedIfThisTurnsUp, то есть "Я буду очень удивлён, если это всплывёт".

Но как всё это связано с Maxthon? Ну в заголовке пакетов, которые вызывали тревогу ведь есть поля host и UserAgent. В первой строке у нас u.dcs.maxthon.com, а вторая однозначно идентифицирует китайский браузер. Оказалось, Maxthon был установлен на компьютеры трёх сотрудников и без их ведома отправлял эти данные.

g_-_-x-_-_-_74766x20160714162344_0.png

Может быть это что-то совсем безобидное, типа телеметрии, которая так распространена в наше время? Maxthon действительно предлагает пользователям User Experience Improvement Program или сокращённо UEIP. По официальным данным эта настройка с согласия пользователя отправляет разработчикам данные, которые могут быть полезны для улучшения браузера. Собирается информация об оборудовании, операционной системе, настройках и возможных ошибок в его работе. Разумеется, вы всегда можете от этого отказаться.

Проблема в том, что отказ ничего не меняет. Простейший эксперимент (чистая установка Maxthon, отказ от UEIP и отслеживание трафика) показал, что отказаться от участия в программе нельзя. Несмотря на отсутствие согласия со стороны пользователя, браузер всё равно будет собирать эти данные.

Тогда специалисты Exatel начали копаться в самом файле. В двух словах: данные шифруются по протоколу AES, сам ключ, который используется и для шифрования конфигураций браузера, встроен в саму программу и никак не шифруется. Эти данные удалось перехватить и расшифровать.

На первый взгляд казалось, что внутри как раз и содержится та информация, которая подпадает под программу UEIP: операционная система, версия браузера, информация об оборудовании, настройках и т. д. Но, к сожалению, это далеко не всё. Вслед за этим указываются все сайты, посещенные пользователем, и все установленные на компьютере программы с указанием версий.

g_-_-x-_-_-_74766x20160714162344_1.png

g_-_-x-_-_-_74766x20160714162454_0.png

На запрос Exatel представители Maxthon ответили что-то о "двух типах UEIP" и отправили читать политику конфиденциальности. Объяснить причины сбора подобной информации никто не попытался. Браузер всё ещё передаёт плохо зашифрованные данные об активности пользователей.

Так что не остаётся ничего, кроме как признать Maxthon программой-шпионом. По этой причине мы удаляем Maxthon из базы DobreProgramy и рекомендуем вам удалить его со своего компьютера. Если интересны подробности технического шпионажа, можете ознакомиться с оригинальным исследованием Zaufanej Trzeciej Strony.

 

 

P. S.

Просто напомню, что это уже не первый случай: Maxthon уже ловили на постоянном соединении с Baidu (тогда это свалили на баг новой страницы быстрого доступа). К тому же MX слишком закрытая компания, чтобы мы могли судить о безопасности браузера. Мы ведь действительно ничего не знаем. Если честно, я удивлён: не думал, что если MX вставит в браузер нечто подобное, мы вообще об этом узнаем. Но нашлись и те, кто это заметил, и те, кто об этом рассказал.

Что делать с браузером, решать вам. Официальных комментариев пока не было. Разве что нам напомнили о том, что мы все уже "согласились" с политикой конфиденциальности. Как бы то ни было, старт MX5 - не лучший период для таких историй, и руководству придётся всё объяснить. Если опасаетесь репрессий, обсудить можем в ЖЖ (комментарии из популярных сетей должны работать) или Blogger (комментарии через Google+)

Link to comment
Share on other sites

  • Джефф Чен (основатель и генеральный директор Maxthon) прокомментировал доклад Exatel о слежке за пользователями браузера:


Безопасность и приватность - главный приоритет Maxthon

На этой неделе компания Exetel опубликовали отчёт, в котором говорилось, что браузер Maxthon собирает конфиденциальную информацию пользователей и пересылает её на свои серверы в Китай. 

User Experience Improvement Program (UEIP), добровольная программа по улучшению качества программного обеспечения

Чтобы улучшить работу браузера, а значит и ваши впечатление от его использования, Maxthon использует стандартную для интернет-отрасли программу UEIP. Предполагается, что пользователи в праве сами решать, когда присоединиться к программе, а когда выйти из нее. Если вы сняли галочку, UEIP не должна собирать информацию о вас. Но проанализировав доклад Exatel, мы обнаружили ошибку в библиотеках нашего кода 2007 (2007 год? 9 лет?! - прим.), в следствии которой эти настройки игнорируются в некоторых (редких) случаях. Мы немедленно исправили эту ошибку, и. мы благодарим команду Exatel за помощь в обнаружении этой проблемы. 

Мы хотели бы отметить, что программа UEIP - это стандартная практика в данной отрасли. Как было отмечено в докладе Exatel, информация, которую собирает UEIP, предназначена для повышения удобства использования за счёт изменения настроек браузера в зависимости от вашей системы. Благодаря UEIP мы можем анализировать и решать проблемы, связанные с конфигурацией ПК для всех видов ПО. Мы обновим нашу политику в области UEIP и сделаем её более прозрачной для пользователей. 

Передача адресов посещённых сайтов на сервера Maxthon

Помимо прочего, Exatel сообщили, что Maxthon передаёт на свои серверы и адреса посещённых вами сайтов. Просто так работает проверка безопасности URL-адресов. Облачный сканер безопасности проверяет адреса тех сайтов, которые вы посещаете. Для этого Maxthon и отправляет адреса на свой сервер, чтобы проверить, действительно ли они безопасны. Благодаря такой проверке мы предотвратили посещение поддельных и вредоносных сайтов миллионами пользователей с 2005 года. В последней версии браузера мы добавили возможность отключить эту проверку. 

Наше обещание пользователям

Maxthon серьёзно относится к вопросам конфиденциальности и информационной безопасности. Данные наших пользователей мы храним в безопасности. Maxthon работает в этой сфере уже более 10 лет, и ещё ни разу не было ни одной утечки конфиденциальной информации третьим лицам. Мы - международная компания с серверами в США, Европе и Азии. Мы прилагаем бесконечные усилия для улучшения наших продуктов с точки зрения приватности и безопасности. 

Мы близки к выходу следующего поколения нашего браузера, MX5, который будет обладать расширенными возможностями защиты данных пользователей: 

  1. MX5 требует обязательной регистрации, так что пользователи защищены надёжным паролем
  2. PassKeeper в MX5 обеспечивает тройное шифрование. Алгоритм AES256 усиливает шифрование баз данных и обеспечивает более безопасную передачу данных в облако по протоколу HTTPS. 
  3. UUMail в MX5 поможет вам скрыть свой E-Mail и защитить свою почту от назойливых спам-рассылок. 

Пожалуйста, перейдите на Maxthon.com, чтобы получить свежую информацию.

Некоторые замечания по поводу других проблем, упомянутых в докладе:

  1. MITM-атаки ("man-in-the-middle", "человек по середине" - перехват данным, передаваемых между пользователям и сайтом, - прим.), связанные MxEncode.ll. Не думаю, что всякий специалист по безопасности станет называть это брешью в защите, так как такие атаки происходят локально. Если атакующий смог получить контроль над компьютером пользователя, не таr много программ, которые могут его защитить. Такое должно пресекаться защитным софтом. Брешь в безопасности не предполагает локального вмешательства.  
  2. Из доклада складывается впечатление. что мы шифруем данные пользователя, чтобы что-то скрыть. Но это говорит, скорее, о том, что мы защищаем информацию о наших пользователях. Мы не хотим, чтобы третьи стороны могли легко добраться до этой информации. Поэтому мы хотели бы повысить надёжность этой защиты в следующих версиях. Пользователи Maxthon должны чувствовать себя в безопасности, зная, что все важные данные зашифрованы. 

Джефф Чен, генеральный директор Maxthon
23:00 EST, 14 июля 2016

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.