IT技(ji)術互動交流平台(tai)

分分pk10官网

作者︰佚名  發(fa)布日(ri)期︰2020-02-27 15:48:51

其實(shi)咱中國的Maxthon遨游(you)瀏覽(lan)器在國際上也還(huai)是有一定(ding)知名度的,從StatsMonkey前年的數據來看(kan),它在中國的市(shi)場份(fen)額排名第(di)6,在波蘭的份(fen)額也是第(di)6。最(zui)近(jin),國外兩家安全(quan)公司聯合(he)發(fa)布報(bao)告稱,遨游(you)瀏覽(lan)器會將(jiang)用(yong)戶隱私數據發(fa)往中國北京的服務(wu)器,遨游(you)這次(ci)又zhi)鵒艘話選br />
你在用(yong)什(shi)麼(me)軟件,遨游(you)都(du)知道
其實(shi)遨游(you)有個(ge)UEIP用(yong)戶體驗提升計劃——在此(ci)計劃中,瀏覽(lan)器會收集(ji)用(yong)戶的各(ge)類數據。這類計劃不算(suan)新鮮,很多瀏覽(lan)器都(du)有,目的是收集(ji)BUG、提升和改進(jin)用(yong)戶的瀏覽(lan)器使用(yong)體驗,比(bi)如Firefox和Chrome都(du)有。
不huai)恿郊野踩quan)公司Exatel和Fidelis Network的分(fen)析數據來看(kan),遨游(you)收集(ji)的這些數據可越(yue)過了他的本分(fen)。在使用(yong)遨游(you)瀏覽(lan)器期間,這款(kuan)瀏覽(lan)器會收集(ji)的數據包括,你所用(yong)的操作系(xi)統版本、屏(ping)幕分(fen)辨(bian)率、CPU類型、CPU速度qu) na)存(cun)、遨游(you)可執行文件所在位置、廣告阻止情(qing)況、Home頁(ye)設置。
最(zui)重要的還(huai)有用(yong)戶訪問shi)拿懇桓ge)完整的URL地址(也就是你的網頁(ye)瀏覽(lan)歷史,包括用(yong)戶的谷歌搜索操作…),以及用(yong)戶在系(xi)統中安裝的應(ying)用(yong)列表,甚至包括這些應(ying)用(yong)的版本號。

分(fen)析報(bao)告顯示,這些數據都(du)打(da)包放在一個(ge)名為ueipdat.zip的文件中,定(ding)期通過HTTP發(fa)往位于北京的遨游(you)服務(wu)器。這個(ge)zip壓縮文件中,包含一個(ge)名為dat.txt的加yong) 募ES-128-ECB),實(shi)際這並(bing)非(fei)本文文檔。要解密該文件並(bing)不困難,注意仔細看(kan)上圖(tu)中出(chu)現的信息,都(du)是你在用(yong)的其他軟件。
就算(suan)退出(chu)UEIP計劃也不行
前面我們說,打(da)開遨游(you)的UEIP計劃,遨游(you)瀏覽(lan)器就會收集(ji)用(yong)戶的這些私人信息。那在瀏覽(lan)器設置中選擇(ze)不參與該計劃,是不是就行了呢(ne)?遨游(you)自己說,在用(yong)戶選擇(ze)UEIP計劃的時候,才(cai)會收集(ji)更多用(yong)戶數據,而(er)且是完全(quan)匿名的。如果不參與該計劃,瀏覽(lan)器只(zhi)會收集(ji)一些有關瀏覽(lan)器狀態的基本數據。

遨游(you)UEIP計劃詳(xiang)情(qing)
但這份(fen)分(fen)析報(bao)告提到,不huai)苡yong)戶是否加入該計劃,遨游(you)瀏覽(lan)器始終會收集(ji)用(yong)戶的這些數據。這是一件多麼(me)悲劇的事情(qing)。
今年1月份(fen),國外已經有用(yong)戶在遨游(you)官方論壇上反映了這一問題(ti)。其中提到,dat.txt收集(ji)的信息是經過加yong)艿模ldquo;我們無法得知瀏覽(lan)器究竟從you)頤塹募撲suan)機中上傳了什(shi)麼(me)樣的信息,你們能(neng)不能(neng)告訴我們在退出(chu)UEIP後,遨游(you)究竟還(huai)收集(ji)了哪些信息?”
遨游(you)CEO陳明杰針對本次(ci)事件做(zuo)出(chu)了回應(ying),內(na)容如下︰
我們對于用(yong)戶的隱私和信息安全(quan)非(fei)常謹(jin)慎。我們確保(bao)用(yong)戶的信息和隱私安全(quan)。遨游(you)已經從事該行業超(chao)過10年,從you)聰蛉魏蔚di)三方機構泄露過隱私數據。我們是家真正(zheng)意義(yi)上xi)墓市(shi)推笠擔 wu)器遍及美國、歐fen)蘚脫ya)洲。我們努力提升產品fen)柿浚 bao)護用(yong)戶安全(quan)與隱私。

這席(xi)話听(ting)起(qi)來並(bing)沒有針對此(ci)事做(zuo)出(chu)非(fei)常正(zheng)面的回應(ying)。實(shi)際上,遨游(you)在國外宣傳自家瀏覽(lan)器產品fan)氖焙蛞蒼  桓ge)賣點︰我們不會將(jiang)數據給NSA。那麼(me)這些數據是給誰了呢(ne)?
更悲劇的是,采用(yong)中間人攻(gong)擊(ji)很容易獲取(qu)到遨游(you)收集(ji)的這些數據——可被用(yong)于惡意用(yong)途。這兩家安全(quan)公司就演(yan)示了整個(ge)攻(gong)擊(ji)過程(cheng),並(bing)且在結論中提到,這也表現出(chu)遨游(you)瀏覽(lan)器是不安全(quan)的。
“如果此(ci)事被曝光,我將(jiang)非(fei)常震驚”
那麼(me),我們就來稍稍來關注一下Exatel和Fidelis Network給出(chu)的這份(fen)分(fen)析報(bao)告,有興趣關注細節內(na)容的,可以點擊(ji)這里(li)了解詳(xiang)情(qing)。
實(shi)際上Exatel原本並(bing)沒有刻意對遨游(you)發(fa)起(qi)安全(quan)檢查(cha)。Exatel有個(ge)安全(quan)運(yun)營中心,簡稱SOC。今年3月份(fen)的時候,SOC在搞(gao)Fidelis Network的高級威脅檢測解決方案——這是個(ge)安全(quan)產品。他們qiang)jiang)內(na)部LAN連接到Fidelis Network平台(tai),監視整個(ge)網絡,每天查(cha)看(kan)相(xiang)關違反DLP.sendfiles.exfiltration規則的情(qing)況——這里(li)這個(ge)什(shi)麼(me)規則,是SOC監視是否有文檔通過HTTP協議(yi)和POST方式(shi)發(fa)往外部的一個(ge)安全(quan)規則。
結果在整個(ge)過程(cheng)中發(fa)現,網絡內(na)部有3台(tai)計算(suan)機,會周期性發(fa)出(chu)一個(ge)大約ji)赴僮紙  eipdata.zip的文件,而(er)且是發(fa)往位于北京的一台(tai)服務(wu)器。

上面這張截圖(tu)來自Fidelis平台(tai)的事件分(fen)析控制(zhi)台(tai),里(li)面出(chu)現了一個(ge)警告,警告內(na)容為存(cun)在違反DLP.sendfiles.exfiltration規則的情(qing)況,有數據偷偷發(fa)往位于中國的服務(wu)器。于是SOC的專家們就對此(ci)進(jin)行了一番研究。
他們發(fa)現這個(ge)ueipdata.zip文件中包含一個(ge)dat.txt文件——實(shi)際上這並(bing)非(fei)真正(zheng)的文本文件,里(li)面的數據似乎經過了加yong)塴4TTP協議(yi)content-type字段標識來看(kan),ueipdata.zip被標記(ji)為image/pjpeg,所以這是個(ge)…圖(tu)片?

不huai)獯ci)測試(shi)中還(huai)有更引人注目的一件事,發(fa)出(chu)的HTTP包中,數次(ci)出(chu)現的一個(ge)字符串︰
"IllBeVerySurprisedIfThisTurnsUp"
I’ll be very surprised if this turns up,這句(ju)話難道不是應(ying)該翻(fan)譯成“如果此(ci)事被曝光,我將(jiang)非(fei)常震驚”嗎?真調皮!SOC甚至還(huai)想(xiang)到了,由于當(dang)時愚(yu)人節將(jiang)至,可能(neng)是公司內(na)部有人做(zuo)了點手腳,以測試(shi)Fidelis Network平台(tai)能(neng)不能(neng)把它抓出(chu)來。但隨後的分(fen)析又發(fa)現,其目標服務(wu)器就是中國,Fidelis記(ji)錄下的user-agent標識也明確了誰才(cai)是發(fa)出(chu)這些數據的幕後主使,即︰Maxthon遨游(you)瀏覽(lan)器。

Exatel對公司內(na)部進(jin)行了檢查(cha),發(fa)現果然有3名員工在電腦上安裝了遨游(you)瀏覽(lan)器。
其實(shi)上面的這個(ge)字符串,這句(ju)話估計是某個(ge)程(cheng)序猿的神來之筆(bi)。它有自己的實(shi)際shou)饔yong),分(fen)隔HTTP傳輸的文件,在這里(li)是引導遨游(you)瀏覽(lan)器對HTTP包中的ZIP文件進(jin)行解碼(ma)的。而(er)且這位程(cheng)序員同學(xue)從很早之前就開始用(yong)這句(ju)話了。不huai)餼ju)話的完整版其實(shi)應(ying)該是︰“I will be very surprised if this sequence of characters appears somewhere in the attached file sent by this program.”

Exatel的研究人員也了解到了遨游(you)的UEIP計劃,所以親自在電腦上安裝了遨游(you)瀏覽(lan)器,然後清清楚楚撤銷“加入UEIP計劃”前面的勾選。結果發(fa)現,瀏覽(lan)器使用(yong)期間,ueipdata.zip依舊按照慣例(li)發(fa)往遨游(you)瀏覽(lan)器(u.dcs.maxthon.com)。
于是,研究人員對遨游(you)瀏覽(lan)器執行數據加yong) ming)令的主進(jin)程(cheng)進(jin)行了調查(cha),很快就發(fa)現我們上面提到的dat.txt加yong)懿捎yong)AES對稱加yong)芩suan)法,密鑰是個(ge)定(ding)量︰eu3o4[r04cml4eir——看(kan)下圖(tu),它就靜靜躺(thang)在瀏覽(lan)器代(dai)碼(ma)中,沒有任何混(hun)淆視野的東西。

這個(ge)密鑰作為參數,執行位于遨游(you)瀏覽(lan)器動態鏈(lian)接庫MxEncode.dll中的Encode解密導出(chu)函數。這里(li)的MxEncode.dll就負責UEIP數據的加yong)塴U飧ge)庫采用(yong)Crypto++開源庫構建,這一點在遨游(you)PE文件的符號表中可以看(kan)到。
實(shi)際上MxEncode庫也負責遨游(you)瀏覽(lan)器本地配置文件的加yong)芎徒餉塴OC的專家們深入監視了遨游(you)瀏覽(lan)器和tu)用(yong)苣?xEncode.dll間的通訊(xun),另外還(huai)在遨游(you)的加yong)芸庵 轄jin)行中間人攻(gong)擊(ji)。
講到這里(li)其實(shi)已經很清楚了,遨游(you)瀏覽(lan)器首(shou)先(xian)會加載(zai)安裝目錄中的MxEncode.dll庫,對傳輸數據進(jin)行加yong)埽 ?fa)輸出(chu)Encode之類的),然後再(zai)將(jiang)加yong)芄蟺氖涑chu)緩存(cun)數據返(fan)回給遨游(you)瀏覽(lan)器進(jin)程(cheng),然後再(zai)傳輸這些加yong)艿氖蕁br />
SOC專家進(jin)行中間人攻(gong)擊(ji)的方法是這樣的︰他們構建了自己的DLL庫,模仿原有的MxEncode庫。其中插入的代(dai)碼(ma),會先(xian)將(jiang)每kan)五塾you)瀏覽(lan)器加yong)芮肭笫荼bao)存(cun)起(qi)來,隨後再(zai)加載(zai)遨游(you)原有的加yong)芸猓 ci)處(chu)重命(ming)名為MxEncodeOrig.dll)。這樣一來,所有的數據再(zai)發(fa)往遨游(you)瀏覽(lan)器之前,都(du)會流經SOC自己的庫。另外令遨游(you)解密配置文件,捕獲加yong) 茉浚 約霸 xEncode庫Decode函數返(fan)回的數據。
然後我們就知道,這貨究竟收集(ji)了哪些信息了。要進(jin)行中間人攻(gong)擊(ji),Exatel在分(fen)析報(bao)告中提供了一份(fen)Python代(dai)碼(ma),解密dat.txt輕而(er)易舉。從中似乎也能(neng)看(kan)出(chu),其實(shi)遨游(you)瀏覽(lan)器的安全(quan)性做(zuo)得不怎麼(me)樣。
目前遨游(you)瀏覽(lan)器的最(zui)新版4.9.3.1000仍會傳輸這些UEIP數據,無論用(yong)戶是否選擇(ze)UEIP計劃。
 

 

 

Tag標簽(qian)︰北京  瀏覽(lan)器  服務(wu)器  
  • 分分pk10官网

About IT165 - 廣告服務(wu) - 隱私聲明 - 版權申(shen)明 - 免責條款(kuan) - 網站地圖(tu) - 網友投稿 - 金福彩票官网聯系(xi)方式(shi)
本站內(na)容來自于互聯網,僅(jin)供用(yong)于網絡技(ji)術學(xue)習,學(xue)習中請遵循相(xiang)關法律(lv)法規
分分pk10官网 | 下一页