Maxthon to spyware. Polscy badacze przechwycili utajnioną komunikację z Chinami
Na łamach Zaufanej Trzeciej Strony opublikowanoanalizę bezpieczeństwa chińskiej przeglądarki Maxthon, cieszącejsię pewną popularnością także i u nas. Jej autorami sąanalitycy Centrum Operacji Bezpieczeństwa firmy Exatel SA, operatoraspecjalizującego się w usługach telekomunikacyjnych dla biznesu.By nie tracić czasu – jeśli czytacie ten tekst właśnie naMaxthonie, to lepiej przestańcie, usuńcie tę przeglądarkę iznajdźcie sobie coś innego. Maxthon bez wiedzy użytkownikówrozmawia z serwerami w Chinach, wysyłając im całkiem ciekawerzeczy…
14.07.2016 | aktual.: 25.07.2016 11:06
Sprawa ujawniona została trochę przypadkiem – wykorzystywanydo monitorowania sieci lokalnej system Fidelis regularnie zgłaszałincydenty polegające na wysyłaniu danych na zewnętrzny serwer poprotokole HTTP i metodą POST, tak jak np. wysyłane są załącznikido webmaili. Odbiorcą był serwer w Pekinie, a dane zawarte były wkilkusetbajtowym pliku o nazwie ueipdata.zip.
Analiza danych z Fidelisa pokazała, że w środku plikuznajdziemy spakowany zipem plik dat.txt. Nie jest to jednak pliktekstowy, wbrew rozszerzeniu, lecz binarny. Deklarowany typ pliku toimage/pjpeg, obrazek. Jak na obrazek jednak charakteryzuje się zbytwysoką entropią – czyli albo był wynikiem pracy generatora liczblosowych, albo szyfrowania. A w samej treści pakietu znajdowała sięciekawa fraza: IllBeVerySurprisedIfThisTurnsUp.
Co jednak to ma wspólnego z Maxthonem? Cóż, w nagłówkupakietów, które wywoływały alarm, znajdowały się pola hostadocelowego i user-agenta. Ten pierwszy to u.dcs.maxthon.com, tendrugi to ciąg jednoznacznie identyfikujący chińską przeglądarkę.Okazało się, że Maxthon był zainstalowany na trzech komputerachpracowników firmy – i bez ich wiedzy takie właśnie pakietyprzesyłał.
Być może to coś całkiem niewinnego jednak, zwykła telemetria,tak powszechna w naszych czasach? Faktycznie, Maxthon oferuje coś onazwie User Experience Improvement Program, w skrócie UEIP. Wedługoficjalnych informacji za zgodą użytkownika dostarcza on twórcomprzeglądarki zanonimizowane dane, mające pomóc w ulepszaniu ichprogramu. Zbierane są informacje o sprzęcie, systemie operacyjnym,ustawieniach Maxthona i ewentualnych błędach w jego działaniu.Oczywiście w każdej chwili można z tego zrezygnować.
Tyle że wcale nie można. Prosty eksperyment – zainstalowanie„na czysto” Maxthona, wyłączenie uczestnictwa w programie UEIPi śledzenie ruchu sieciowego – pokazał, że przełącznikuczestnictwa to zbyteczny wihajster. Przeglądarka wysyła daneregularnie, mimo braku zgody użytkownika.
Specjaliści Exatela wzięli się więc za badanie przesyłanegopliku. Pokrótce – dane szyfrowane są AES-em z użyciemwbudowanego w przeglądarkę klucza, w żaden sposób nieukrytego,poprzez moduł szyfrujący, służący też do szyfrowania plikówkonfiguracyjnych przeglądarki. Wykorzystując stworzoną przezsiebie atrapę modułu szyfrującego, przechwycili szyfrowane przezprzeglądarkę dane.
Na pierwszy rzut oka wydawało się, że w środku są właśniete informacje, które opisano jako gromadzone w ramach UEIP –wersja systemu, przeglądarki, informacje o sprzęcie, ustawieniaitp. Niestety to jednak nie wszystko. Dalej można było znaleźćinformacje o wszystkich stronach odwiedzanych przez użytkownika, atakże pełna lista zainstalowanego na komputerze oprogramowania,wraz z numerami wersji.
Rozmowy Exatela z producentem Maxthona skończyły się bajkami o„dwóch typach programu UEIP” i skierowaniem do politykiprywatności. Nijak nie spróbowano wyjaśnić powodów zbierania takszczegółowych danych. Kolejne wersje przeglądarki wciąż dalejwysyłały kiepsko zaszyfrowane pliki z informacjami o aktywnościużytkowników.
Nie pozostaje nam nic innego, jak uznać przeglądarkę Maxthon zaoprogramowanie szpiegujące użytkowników. Z tego powodu usunęliśmyMaxthona z bazy dobrychprogramów i sugerujemy jej użytkownikom, byusunęli Maxthona z dysku. Zainteresowanych szczegółami analizy technicznej tego spyware odsyłamy do Zaufanej Trzeciej Strony.