Softpedia: Maxthon собирает конфиденциальные данные, даже если вы отключили такую возможность

  • Продолжаем разговор о сборе конфиденциальных данных пользователей Maxthon, из-за которого многие крупные сайты уже удалили браузер из списка рекомендованных программ. Сегодня очередь дошла до Softpedia, первого крупно сайта, осветившего вскрывшиеся факты. Если на публикации региональных сайтов ещё можно было закрыть глаза, то после статьи Softpedia замолчать проблему уже не удастся!

Maxthon собирает конфиденциальные данные, даже если пользователь отключил такую возможность!



Ещё один китайский браузер обвинили в сборе конфиденциальных данных!

Уже две крупные компании, специализирующиеся на безопасности, подтвердили, что браузер Maxthon собирает конфиденциальную информацию о пользователе и отправляет её на сервер в Китае, даже если пользователь это запретил.

Согласно отчетам Exatel и Fidelis Cybersecurity, проблема заключается в том, как в браузере сегодня реализована программа по улучшению качества продукта UEIP (User Experience Improvement Program, перевод лучше подобрать не смог, - прим.).

UEIP позволяет производителю собирать информацию о том, как пользователи используют его продукт. Все браузеры, включая Chrome и Firefox, собирают эту информацию, но в известных пределах.

Maxthon собирает больше данных, чем нужно!

Exatel и Fidelis утверждают, что Maxthon гораздо больше данных, чем обычно считается допустимым. В список MX входит версия операционной системы, разрешение экрана, тип процессора и его скорость, объём установленной оперативной памяти, расположение файла запуска Maxthon, вся история сёрфинга и все поисковые запросы, список всех установленных программ, включая их язык и версию.


Как сообщили специалисты из Exatel, все эти данные были обнаружены в файле ueipdat.zip, который браузер регулярно отправляет на сервера Maxthon в Китае, используя HTTP-соединение.

Внутри ZIP-архива специалисты обнаружили зашифрованный по протоколу AES-128-ECB файл dat.txt, но Exatel уверяют, что им удалось взломать его, используя пароль eu3o4[r04cml4eir, который содержался в самом браузере. Внутри dat.txt содержались данные, упомянутые выше.

Баг или намеренное действие?

Maxthon не стали отвечать на вопросы Exatel (по словам генерального директора и основателя Maxthon Джеффа Чена, с ним никто не связывался, - прим.), но на форуме компании уже пользователи пытаются призвать её к ответу. И на "своем поле" представитель компании всё же признал, что Maxthon действительно собирает указанную информацию, но только если вы согласились принять участие в программе UEIP, если вы вышли из неё, Maxthon должен собирать только ту информацию, которая касается самого браузера (Какого чёрта?! Я же отказался! - прим.), но никак не конфиденциальные данные.

Вот только, согласно данным Exatel и Fidelis, это абсолютно не так: проварка показала, что, даже когда вы выходите из программы UEIP, браузер продолжает отправлять на серверы своих создателей те же данные, что и раньше.

Мы (Softpedia, - прим.) уже обратились к представителям Maxthon за комментариями по поводу случившегося (включая и заявления сотрудников компании на форуме). С их стороны было бы довольно любезно ответить на все вопросы.

Напомним, что ранее специалисты по безопасности из Citizen Lab уже уличили в подобных действиях и другие китайские браузеры: QQ Browser (март 2016), Baidu Browser (февраль 2016) и UC Browser (май 2015).

UPD: 14 июля 2016 мы получили следующее заявление от Джеффа Чена, генирального директора компании: "Maxthon воспринимает отчет Exatel очень серьёзно и тщательно расследует случившееся".

За сим всё...
Рассказать друзьям через AddThis или Shareaholic
Translate via GoogleYandexBing or Promt

Translati in English

Комментарии

Популярные сообщения