Udostępnij:

Na łamach Zaufanej Trzeciej Strony opublikowano analizę bezpieczeństwa chińskiej przeglądarki Maxthon, cieszącej się pewną popularnością także i u nas. Jej autorami są analitycy Centrum Operacji Bezpieczeństwa firmy Exatel SA, operatora specjalizującego się w usługach telekomunikacyjnych dla biznesu. By nie tracić czasu – jeśli czytacie ten tekst właśnie na Maxthonie, to lepiej przestańcie, usuńcie tę przeglądarkę i znajdźcie sobie coś innego. Maxthon bez wiedzy użytkowników rozmawia z serwerami w Chinach, wysyłając im całkiem ciekawe rzeczy…

Sprawa ujawniona została trochę przypadkiem – wykorzystywany do monitorowania sieci lokalnej system Fidelis regularnie zgłaszał incydenty polegające na wysyłaniu danych na zewnętrzny serwer po protokole HTTP i metodą POST, tak jak np. wysyłane są załączniki do webmaili. Odbiorcą był serwer w Pekinie, a dane zawarte były w kilkusetbajtowym pliku o nazwie ueipdata.zip.

Analiza danych z Fidelisa pokazała, że w środku pliku znajdziemy spakowany zipem plik dat.txt. Nie jest to jednak plik tekstowy, wbrew rozszerzeniu, lecz binarny. Deklarowany typ pliku to image/pjpeg, obrazek. Jak na obrazek jednak charakteryzuje się zbyt wysoką entropią – czyli albo był wynikiem pracy generatora liczb losowych, albo szyfrowania. A w samej treści pakietu znajdowała się ciekawa fraza: IllBeVerySurprisedIfThisTurnsUp.

Co jednak to ma wspólnego z Maxthonem? Cóż, w nagłówku pakietów, które wywoływały alarm, znajdowały się pola hosta docelowego i user-agenta. Ten pierwszy to u.dcs.maxthon.com, ten drugi to ciąg jednoznacznie identyfikujący chińską przeglądarkę. Okazało się, że Maxthon był zainstalowany na trzech komputerach pracowników firmy – i bez ich wiedzy takie właśnie pakiety przesyłał.

Być może to coś całkiem niewinnego jednak, zwykła telemetria, tak powszechna w naszych czasach? Faktycznie, Maxthon oferuje coś o nazwie User Experience Improvement Program, w skrócie UEIP. Według oficjalnych informacji za zgodą użytkownika dostarcza on twórcom przeglądarki zanonimizowane dane, mające pomóc w ulepszaniu ich programu. Zbierane są informacje o sprzęcie, systemie operacyjnym, ustawieniach Maxthona i ewentualnych błędach w jego działaniu. Oczywiście w każdej chwili można z tego zrezygnować.

Tyle że wcale nie można. Prosty eksperyment – zainstalowanie „na czysto” Maxthona, wyłączenie uczestnictwa w programie UEIP i śledzenie ruchu sieciowego – pokazał, że przełącznik uczestnictwa to zbyteczny wihajster. Przeglądarka wysyła dane regularnie, mimo braku zgody użytkownika.

Specjaliści Exatela wzięli się więc za badanie przesyłanego pliku. Pokrótce – dane szyfrowane są AES-em z użyciem wbudowanego w przeglądarkę klucza, w żaden sposób nieukrytego, poprzez moduł szyfrujący, służący też do szyfrowania plików konfiguracyjnych przeglądarki. Wykorzystując stworzoną przez siebie atrapę modułu szyfrującego, przechwycili szyfrowane przez przeglądarkę dane.

Na pierwszy rzut oka wydawało się, że w środku są właśnie te informacje, które opisano jako gromadzone w ramach UEIP – wersja systemu, przeglądarki, informacje o sprzęcie, ustawienia itp. Niestety to jednak nie wszystko. Dalej można było znaleźć informacje o wszystkich stronach odwiedzanych przez użytkownika, a także pełna lista zainstalowanego na komputerze oprogramowania, wraz z numerami wersji.

Rozmowy Exatela z producentem Maxthona skończyły się bajkami o „dwóch typach programu UEIP” i skierowaniem do polityki prywatności. Nijak nie spróbowano wyjaśnić powodów zbierania tak szczegółowych danych. Kolejne wersje przeglądarki wciąż dalej wysyłały kiepsko zaszyfrowane pliki z informacjami o aktywności użytkowników.

Nie pozostaje nam nic innego, jak uznać przeglądarkę Maxthon za oprogramowanie szpiegujące użytkowników. Z tego powodu usunęliśmy Maxthona z bazy dobrychprogramów i sugerujemy jej użytkownikom, by usunęli Maxthona z dysku. Zainteresowanych szczegółami analizy technicznej tego spyware odsyłamy do Zaufanej Trzeciej Strony.