傲游浏览器在用户退出后依然收集敏感数据

  据Exatel和Fidelis网络安全的报道,这个问题存在于当前的用户体验改善计划(UEIP)之中,该计划是傲游浏览器的一种特性。

  UEIP允许浏览器制造商收集并分析用户使用产品时的信息。但在某种程度上,所有的浏览器都是这样的,包括Firefox和Chrome。

  收集了比实际需要更多的数据

  Exatel和Fidelis声称,除了收集那些被认为可以收集的信息之外,傲游浏览器还会收集更多的敏感信息。

  这些信息包括操作系统版本、屏幕分辨率、CPU类型、CPU速度、装入的内存数量、傲游浏览器可执行文件的位置、广告拦截器状态、浏览器主页URL、用户所有的浏览器历史、所有的谷歌搜索记录、用户在系统上安装的其他应用程序的列表,还包括它们的版本号。

  Exatel说,他们发现所有的数据都被保存在一个名为ueipdat.zip的文件内。通过HTTP,这个文件会被定期从用户的浏览器发送到傲游浏览器在中国的服务器

  在这个压缩包里,研究人员发现了一个名为dat.txt的加密文件。

  Exatel说,这是一个AES-128-ECB密码,他们能够使用在傲游浏览器的二进制中发现的密码eu3o4[r04cml4eir破解这种加密,而Dat.txt中包含前面提到的所有数据。

  是错误,还是有意的设计?

  傲游浏览器没有直接对Exatel的质疑予以回应,但是在公司的论坛内对用户发布了声明。

  傲游浏览器的代表回应说,当用户选择进入UEIP后,浏览器会收集所有上述提到的敏感数据,但是当他们选择退出后, 浏览器只会收集与浏览器状态有关的基本数据,而不是任何特定用户的个人信息。

  Exatel和Fidelis认为这种说法是不可靠的,在他们的测试中, 傲游浏览器在退出后仍然会保存并发送相同的数据给浏览器厂商的服务器。

  Softpedia已经在试图和傲游浏览器的代表取得联系,请求他们在公共论坛对质疑进行回应。

  之前, 来自于Citizen Lab的安全研究人员在中国的其他浏览器中发现了类似的活动,例如QQ浏览器(2016年3月)、百度浏览器(2016年2月)、UC浏览器(2015年5月)。

  2016年7月14日更新:我们收到了来自于傲游浏览器CEO Jeff Chen的声明:“傲游浏览器非常重视Exatel的这些报告,并且正在全面调查此事。”

发表评论