Maxthon to spyware. Polscy badacze przechwycili utajnioną komunikację z Chinami

Strona głównaMaxthon to spyware. Polscy badacze przechwycili utajnioną komunikację z Chinami
14.07.2016 16:28
Maxthon to spyware. Polscy badacze przechwycili utajnioną komunikację z Chinami
bDUbujyu

Na łamach Zaufanej Trzeciej Strony opublikowanoanalizę bezpieczeństwa chińskiej przeglądarki Maxthon, cieszącejsię pewną popularnością także i u nas. Jej autorami sąanalitycy Centrum Operacji Bezpieczeństwa firmy Exatel SA, operatoraspecjalizującego się w usługach telekomunikacyjnych dla biznesu.By nie tracić czasu – jeśli czytacie ten tekst właśnie naMaxthonie, to lepiej przestańcie, usuńcie tę przeglądarkę iznajdźcie sobie coś innego. Maxthon bez wiedzy użytkownikówrozmawia z serwerami w Chinach, wysyłając im całkiem ciekawerzeczy…

bDUbujxN

Sprawa ujawniona została trochę przypadkiem – wykorzystywanydo monitorowania sieci lokalnej system Fidelis regularnie zgłaszałincydenty polegające na wysyłaniu danych na zewnętrzny serwer poprotokole HTTP i metodą POST, tak jak np. wysyłane są załącznikido webmaili. Odbiorcą był serwer w Pekinie, a dane zawarte były wkilkusetbajtowym pliku o nazwie ueipdata.zip.

350179894111790537

Analiza danych z Fidelisa pokazała, że w środku plikuznajdziemy spakowany zipem plik dat.txt. Nie jest to jednak pliktekstowy, wbrew rozszerzeniu, lecz binarny. Deklarowany typ pliku toimage/pjpeg, obrazek. Jak na obrazek jednak charakteryzuje się zbytwysoką entropią – czyli albo był wynikiem pracy generatora liczblosowych, albo szyfrowania. A w samej treści pakietu znajdowała sięciekawa fraza: IllBeVerySurprisedIfThisTurnsUp.

bDUbujxP

Co jednak to ma wspólnego z Maxthonem? Cóż, w nagłówkupakietów, które wywoływały alarm, znajdowały się pola hostadocelowego i user-agenta. Ten pierwszy to u.dcs.maxthon.com, tendrugi to ciąg jednoznacznie identyfikujący chińską przeglądarkę.Okazało się, że Maxthon był zainstalowany na trzech komputerachpracowników firmy – i bez ich wiedzy takie właśnie pakietyprzesyłał.

350179894111987145

Być może to coś całkiem niewinnego jednak, zwykła telemetria,tak powszechna w naszych czasach? Faktycznie, Maxthon oferuje coś onazwie User Experience Improvement Program, w skrócie UEIP. Wedługoficjalnych informacji za zgodą użytkownika dostarcza on twórcomprzeglądarki zanonimizowane dane, mające pomóc w ulepszaniu ichprogramu. Zbierane są informacje o sprzęcie, systemie operacyjnym,ustawieniach Maxthona i ewentualnych błędach w jego działaniu.Oczywiście w każdej chwili można z tego zrezygnować.

Tyle że wcale nie można. Prosty eksperyment – zainstalowanie„na czysto” Maxthona, wyłączenie uczestnictwa w programie UEIPi śledzenie ruchu sieciowego – pokazał, że przełącznikuczestnictwa to zbyteczny wihajster. Przeglądarka wysyła daneregularnie, mimo braku zgody użytkownika.

bDUbujxV

Specjaliści Exatela wzięli się więc za badanie przesyłanegopliku. Pokrótce – dane szyfrowane są AES-em z użyciemwbudowanego w przeglądarkę klucza, w żaden sposób nieukrytego,poprzez moduł szyfrujący, służący też do szyfrowania plikówkonfiguracyjnych przeglądarki. Wykorzystując stworzoną przezsiebie atrapę modułu szyfrującego, przechwycili szyfrowane przezprzeglądarkę dane.

Na pierwszy rzut oka wydawało się, że w środku są właśniete informacje, które opisano jako gromadzone w ramach UEIP –wersja systemu, przeglądarki, informacje o sprzęcie, ustawieniaitp. Niestety to jednak nie wszystko. Dalej można było znaleźćinformacje o wszystkich stronach odwiedzanych przez użytkownika, atakże pełna lista zainstalowanego na komputerze oprogramowania,wraz z numerami wersji.

350179894112314825
350179894112380361

Rozmowy Exatela z producentem Maxthona skończyły się bajkami o„dwóch typach programu UEIP” i skierowaniem do politykiprywatności. Nijak nie spróbowano wyjaśnić powodów zbierania takszczegółowych danych. Kolejne wersje przeglądarki wciąż dalejwysyłały kiepsko zaszyfrowane pliki z informacjami o aktywnościużytkowników.

bDUbujxW

Nie pozostaje nam nic innego, jak uznać przeglądarkę Maxthon zaoprogramowanie szpiegujące użytkowników. Z tego powodu usunęliśmyMaxthona z bazy dobrychprogramów i sugerujemy jej użytkownikom, byusunęli Maxthona z dysku. Zainteresowanych szczegółami analizy technicznej tego spyware odsyłamy do Zaufanej Trzeciej Strony.

Udostępnij:
bDUbujyL