这两家安全因素公司确定,即使用户已经选择退出,傲游浏览器仍然会收集用户更敏感的信息并发送到网站服务器。
根据Exatel和费德利斯关于互联网信息安全的报告,这个问题存在于今天的用户体验改善措施(UEIP),这是傲游浏览器的一个特点。
UEIP允许浏览器制造商在用户使用产品时收集和分析信息。但在某种程度上,所有的浏览器都是那样,包括火狐和Chrome。
收集比平时更多的数据信息。
Exatel和费德利斯声称,除了收集这类他们觉得可以收集的信息外,傲游浏览器还会继续再次收集大量更敏感的信息。
这类信息包括版本信息、分辨率、CPU类型、CPU速度、存储量、傲游浏览器可执行文件位置、广告拦截器状态、浏览器首页URL、用户所有浏览器历史、所有Google百度搜索引擎记录、用户在系统上安装的其他系统软件的文件目录及其版本号信息。
Exatel表示,他们发现所有的数据信息都存储在一个全称为ueipdat.zip的文本文档中根据HTTP,这个文本文档会按时从用户的浏览器发送到傲游在中国的网站服务器上。
在这个压缩包中,科研人员发现了一个全名为dat.txt的加密文件Exatel表示,这是一个AES-128-ECB的用户名和密码,他们可以使用傲游浏览器二进制中找到的用户名和密码eu3o4[r04cml4eir]来破解这种数据库加密,而Dat.txt包含了上面提到的所有数据信息。
这是失误,还是刻意的方案设计?
傲游浏览器没有立即回应Exatel的反对意见,而是在该公司的论坛社区向用户发布了一份声明。傲游浏览器的意思是回应,当用户选择进入UEIP时,浏览器会收集上面提到的所有秘密数据信息,但当他们选择退出时,浏览器一直在收集与浏览器状态相关的基础数据信息,而不是所有唯一用户自己的信息。
Exatel和费德利斯认为这种称谓是不真实的。在他们的测试中,傲游浏览器在退出后仍然会将相同的数据信息存储并推送至浏览器厂商的网站服务器。
Softpedia长期以来一直试图与傲游浏览器取得联系,并规定他们应在文化论坛社区中回应异议。
此前,来自公民实验室的安全系数研究人员在中国其他浏览器中发现了类似活动,如QQ浏览器(2016年3月)、网页搜索浏览器(2016年2月)和UC浏览器(2015年5月)。
2016年7月14日升级:人人收到声明傲游浏览器CEO陈明杰:“傲游浏览器非常重视Exatel的此类报道,已经对此事进行了充分调查。”
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)