IT技術互動交流平臺

遨游瀏覽器把全球用戶的這些數據偷偷傳回了北京服務器

作者:佚名  發布日期:2016-07-20 22:42:51

其實咱中國的Maxthon遨游瀏覽器在國際上也還是有一定知名度的,從StatsMonkey前年的數據來看,它在中國的市場份額排名第6,在波蘭的份額也是第6。最近,國外兩家安全公司聯合發布報告稱,遨游瀏覽器會將用戶隱私數據發往中國北京的服務器,遨游這次又火了一把。

你在用什么軟件,遨游都知道
其實遨游有個UEIP用戶體驗提升計劃——在此計劃中,瀏覽器會收集用戶的各類數據。這類計劃不算新鮮,很多瀏覽器都有,目的是收集BUG、提升和改進用戶的瀏覽器使用體驗,比如Firefox和Chrome都有。
不過從兩家安全公司Exatel和Fidelis Network的分析數據來看,遨游收集的這些數據可越過了他的本分。在使用遨游瀏覽器期間,這款瀏覽器會收集的數據包括,你所用的操作系統版本、屏幕分辨率、CPU類型、CPU速度、內存、遨游可執行文件所在位置、廣告阻止情況、Home頁設置。
最重要的還有用戶訪問的每一個完整的URL地址(也就是你的網頁瀏覽歷史,包括用戶的谷歌搜索操作…),以及用戶在系統中安裝的應用列表,甚至包括這些應用的版本號。

分析報告顯示,這些數據都打包放在一個名為ueipdat.zip的文件中,定期通過HTTP發往位于北京的遨游服務器。這個zip壓縮文件中,包含一個名為dat.txt的加密文件(AES-128-ECB),實際這并非本文文檔。要解密該文件并不困難,注意仔細看上圖中出現的信息,都是你在用的其他軟件。
就算退出UEIP計劃也不行
前面我們說,打開遨游的UEIP計劃,遨游瀏覽器就會收集用戶的這些私人信息。那在瀏覽器設置中選擇不參與該計劃,是不是就行了呢?遨游自己說,在用戶選擇UEIP計劃的時候,才會收集更多用戶數據,而且是完全匿名的。如果不參與該計劃,瀏覽器只會收集一些有關瀏覽器狀態的基本數據。

遨游UEIP計劃詳情
但這份分析報告提到,不管用戶是否加入該計劃,遨游瀏覽器始終會收集用戶的這些數據。這是一件多么悲劇的事情。
今年1月份,國外已經有用戶在遨游官方論壇上反映了這一問題。其中提到,dat.txt收集的信息是經過加密的,“我們無法得知瀏覽器究竟從我們的計算機中上傳了什么樣的信息,你們能不能告訴我們在退出UEIP后,遨游究竟還收集了哪些信息?”
遨游CEO陳明杰針對本次事件做出了回應,內容如下:
我們對于用戶的隱私和信息安全非常謹慎。我們確保用戶的信息和隱私安全。遨游已經從事該行業超過10年,從未向任何第三方機構泄露過隱私數據。我們是家真正意義上的國際型企業,服務器遍及美國、歐洲和亞洲。我們努力提升產品質量,保護用戶安全與隱私。

這席話聽起來并沒有針對此事做出非常正面的回應。實際上,遨游在國外宣傳自家瀏覽器產品的時候也曾經提過一個賣點:我們不會將數據給NSA。那么這些數據是給誰了呢?
更悲劇的是,采用中間人攻擊很容易獲取到遨游收集的這些數據——可被用于惡意用途。這兩家安全公司就演示了整個攻擊過程,并且在結論中提到,這也表現出遨游瀏覽器是不安全的。
“如果此事被曝光,我將非常震驚”
那么,我們就來稍稍來關注一下Exatel和Fidelis Network給出的這份分析報告,有興趣關注細節內容的,可以點擊這里了解詳情。
實際上Exatel原本并沒有刻意對遨游發起安全檢查。Exatel有個安全運營中心,簡稱SOC。今年3月份的時候,SOC在搞Fidelis Network的高級威脅檢測解決方案——這是個安全產品。他們將內部LAN連接到Fidelis Network平臺,監視整個網絡,每天查看相關違反DLP.sendfiles.exfiltration規則的情況——這里這個什么規則,是SOC監視是否有文檔通過HTTP協議和POST方式發往外部的一個安全規則。
結果在整個過程中發現,網絡內部有3臺計算機,會周期性發出一個大約幾百字節、名叫ueipdata.zip的文件,而且是發往位于北京的一臺服務器。

上面這張截圖來自Fidelis平臺的事件分析控制臺,里面出現了一個警告,警告內容為存在違反DLP.sendfiles.exfiltration規則的情況,有數據偷偷發往位于中國的服務器。于是SOC的專家們就對此進行了一番研究。
他們發現這個ueipdata.zip文件中包含一個dat.txt文件——實際上這并非真正的文本文件,里面的數據似乎經過了加密。從HTTP協議content-type字段標識來看,ueipdata.zip被標記為image/pjpeg,所以這是個…圖片?

不過這次測試中還有更引人注目的一件事,發出的HTTP包中,數次出現的一個字符串:
"IllBeVerySurprisedIfThisTurnsUp"
I’ll be very surprised if this turns up,這句話難道不是應該翻譯成“如果此事被曝光,我將非常震驚”嗎?真調皮!SOC甚至還想到了,由于當時愚人節將至,可能是公司內部有人做了點手腳,以測試Fidelis Network平臺能不能把它抓出來。但隨后的分析又發現,其目標服務器就是中國,Fidelis記錄下的user-agent標識也明確了誰才是發出這些數據的幕后主使,即:Maxthon遨游瀏覽器。

Exatel對公司內部進行了檢查,發現果然有3名員工在電腦上安裝了遨游瀏覽器。
其實上面的這個字符串,這句話估計是某個程序猿的神來之筆。它有自己的實際作用,分隔HTTP傳輸的文件,在這里是引導遨游瀏覽器對HTTP包中的ZIP文件進行解碼的。而且這位程序員同學從很早之前就開始用這句話了。不過這句話的完整版其實應該是:“I will be very surprised if this sequence of characters appears somewhere in the attached file sent by this program.”

Exatel的研究人員也了解到了遨游的UEIP計劃,所以親自在電腦上安裝了遨游瀏覽器,然后清清楚楚撤銷“加入UEIP計劃”前面的勾選。結果發現,瀏覽器使用期間,ueipdata.zip依舊按照慣例發往遨游瀏覽器(u.dcs.maxthon.com)。
于是,研究人員對遨游瀏覽器執行數據加密命令的主進程進行了調查,很快就發現我們上面提到的dat.txt加密采用AES對稱加密算法,密鑰是個定量:eu3o4[r04cml4eir——看下圖,它就靜靜躺在瀏覽器代碼中,沒有任何混淆視野的東西。

這個密鑰作為參數,執行位于遨游瀏覽器動態鏈接庫MxEncode.dll中的Encode解密導出函數。這里的MxEncode.dll就負責UEIP數據的加密。這個庫采用Crypto++開源庫構建,這一點在遨游PE文件的符號表中可以看到。
實際上MxEncode庫也負責遨游瀏覽器本地配置文件的加密和解密。SOC的專家們深入監視了遨游瀏覽器和加密模塊MxEncode.dll間的通訊,另外還在遨游的加密庫之上進行中間人攻擊。
講到這里其實已經很清楚了,遨游瀏覽器首先會加載安裝目錄中的MxEncode.dll庫,對傳輸數據進行加密(觸發輸出Encode之類的),然后再將加密過后的輸出緩存數據返回給遨游瀏覽器進程,然后再傳輸這些加密的數據。

SOC專家進行中間人攻擊的方法是這樣的:他們構建了自己的DLL庫,模仿原有的MxEncode庫。其中插入的代碼,會先將每次遨游瀏覽器加密請求數據保存起來,隨后再加載遨游原有的加密庫(此處重命名為MxEncodeOrig.dll)。這樣一來,所有的數據再發往遨游瀏覽器之前,都會流經SOC自己的庫。另外令遨游解密配置文件,捕獲加密密鑰,以及原有MxEncode庫Decode函數返回的數據。
然后我們就知道,這貨究竟收集了哪些信息了。要進行中間人攻擊,Exatel在分析報告中提供了一份Python代碼,解密dat.txt輕而易舉。從中似乎也能看出,其實遨游瀏覽器的安全性做得不怎么樣。
目前遨游瀏覽器的最新版4.9.3.1000仍會傳輸這些UEIP數據,無論用戶是否選擇UEIP計劃。
 

 

 

Tag標簽: 北京   瀏覽器   服務器  
  • 專題推薦

About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式
本站內容來自于互聯網,僅供用于網絡技術學習,學習中請遵循相關法律法規
彩票联盟网站 林州市| 汤阴县|