Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 95 reacties

Onderzoekers van het Poolse beveiligingsbedrijf Exatel en Fidelis Cybersecurity uit de VS hebben ontdekt dat de in China ontwikkelde Maxthon-browser geregeld gevoelige informatie naar een server in de Chinese hoofstad Beijing stuurt, ook als gebruikers dat niet willen.

Maxthon logo (75 pix)De informatie in het ueipdata.zip-bestand bevat een versleuteld bestand dat.txt. De onderzoekers vonden de beveiligingssleutel van het bestand en ontdekten dat het bestand informatie opslaat over het besturingssysteem, de cpu, de status van een eventuele adblocker, de adressen van alle bezochte websites, inclusief alle online zoekopdrachten en de geïnstalleerde applicaties met versienummers.

De data die wordt verzameld in het ueipdata.zip-bestand wordt niet per se zonder medeweten van de gebruiker opgeslagen. Tijdens het installeren van de Maxthon-browser vraagt de software of de gebruiker mee wil doen aan het User Experience Improvement Program of UEIP. Volgens de beschrijving van het programma is het vrijwillig en volledig anoniem.

Bij het niet aanvinken van het gebruikerservaringsverbeteringsprogramma blijkt de browser toch gewoon het ueipdata.zip-bestand aan te maken. Op het forum van Maxthon stelt een moderator van de browserbouwer dat als het hokje van UEIP niet aangevinkt wordt, er alleen 'basic information' verzameld wordt. Dit is niet het geval, ontdekten de onderzoekers.

De informatie die wordt teruggestuurd, is volgens cso Justin Harvey van Fidelis Cybersecurity voldoende om een gerichte aanval uit te voeren. Het is 'alles wat je wil voor een verkenningsoperatie om te leren waar je aan moet vallen' zegt Harvey op Threat Geek. Het onderzoek staat bij Exatel.

Maxthon UEIP

Moderatie-faq Wijzig weergave

Reacties (95)

Eťn van de vroege Maxthon versies was tab-based, had zelf instelbare mouse gestures en een heleboel andere functies die andere browsers toen nog niet hadden.
Vervolgens sloopten ze alles wat ik prettig vond er uit (op de tabs na) toen ze aan Maxthon 2.0 gingen werken, en ben ik maar naar Chrome overgestapt.
Zijn een aantal andere browsers geweest die met mouse gestures kwamen, maar over het algemeen waren het vaste gestures en kon je niet zowel de gesture als het effect kiezen. En wanneer rechtermuistoets->links 'Back' is kan je dat veel te makkelijk per ongeluk doen, vooral op een touchpad. Dan wil ik die kunnen uitschakelen of wijzigen.

[Reactie gewijzigd door Skyclad op 16 juli 2016 13:47]

Behoorlijk ernstige zaak. Vraag mijzelf af hoe groot de user-base van Maxthon is die de browser actief gebruikt. Tevens hoeveel % ervan zich hiervan bewust is. Kan mij voorstellen dat niet alle users tech-sites lezen.
The Maxthon browser has anywhere from .75-1% of the global browser market, and has been estimated to be 2-3% of China’s own domestic browser market. Total global user count is estimated to be in the hundreds of millions.
Uit het bericht van Harvey
Vind ik vreemd, 0,75-1% global, uitgaan van 6 miljard mensen is 60 miljoen, niet alle 6 miljard hebben een PC, dan heb je de compesatie van thuis & werk. Maarja, laat het dan 6 miljard zijn. Dus 'honderden miljoenen'.

Vreemde uitspraak dus.
Ja, stond er ook een beetje van te kijken, ik had het artikel toevallig gelezen, vandaar de quote :)
Je beseft dat de uitspraak niet op alle mensen op aarde slaat, maar alle mensen die een browser gebruiken(en dus een of ander apparaat hebben dat het internet op kan)?
'global user count' aldus zijn woorden, gaat dus wel om personen, niet op apparaten.
Personen met toegang tot internet welteverstaan. Van die groep is zoveel op Maxthon, enz.

Niet van alle mensen ter wereld.
Volgens Wikipedia is het de ťťn-na-grootste browser in China. Weliswaar is er geen bronvermelding bij die dat bevestigt, maar ze hebben het over 800 miljoen downloads.

Als dat zo is, dan is dat hťťl wat data dat binnen geharkt is.
En de grootste is UC Browser. Daar word je ook niet vrolijk van:

https://citizenlab.org/20...y-issues-with-uc-browser/
Nou, ik ben alvast een zo'n gebruiker. Hier word ik niet vrolijk van.
De officiŽle verklaring zal vast zijn (aanname hoor, dus GEEN feit) dat "het een bug is in het systeem, en dat het zeker niet de bedoeling was, la bla bla...." Oftewel: een routineus afgedraaid riedeltje die verdere vragen over het datagraaien afwimpelt op een goedkope manier.

Nog even en ik voel me noodgedwongen aangewezen op browsers als Dillo, Lynx en Elinks. Het laatste gebruik ik soms al op een hele oude machine die liever geen MB's kwijt is aan advertenties en andere bende. Ik moet zeggen: het leest wel lekker rustig. Alleen zie je geen foto's, want het is alleen tekstgebaseerd. Maar ach... who needs pictures anyway? :9
Het kan prima een slordige bug zijn. Kwestie van programmeur A die dat vinkje implementeert, en programmeur B die het opsturen van het rapport implementeert, en programmeur C die de code van A en B simpelweg aanzet zonder naar de inhoudelijke code te kijken.
Dat is niet een slordige bug maar een zeer kwalijke fout (als het niet expres is gebeurt).
Een melding als 'Keyboard missing, press F1 to continue' is een slordige fout, een fout waarbij privacy aan de laars gelapt wordt is zeer kwalijk en suggereert dat de ontwikkelaar het niet al te nauw neemt met testen (of bewust informatie steelt)... In beide gevallen zeer kwalijk.
Er is geen twijfel mogelijk dat de overheid daar dit wilde. Het is geen bug, het is een feature. Deze browser is gewoon ůf een idee geweest van de Chinese overheid ůf een particulier initiatief dat gekaapt werd, toen een mannetje in pak het kantoor binnenstapte met een aktetas vol lidmaatschappen van de Partij. En of ze die maar effe wilde tekenen want anders...

Wat voor wereld leven we in? "Hello-ho, anybody home?!"

Al deze data wordt informatie als blijkt dat een van de slachtoffers werkt voor een overheidsinstelling. Hij zocht naar ranzige porn, chantabel dan wel te verleiden met een voor hem persoonlijke opgestelde spam om hem naar een site te leiden van de CHinese overheid. Bang, ze hebben hem. Dan kunnen ze gericht een hackje zetten op zijn thuis pc, zijn laptop en zo binnen komen bij de zijn overheid.
Weer een goed reden om altijd na te denken waar welke software vandaan komt en waarom het bijna gratis is, en vooral welk land de scepter zwaait over het bedrijf. Dat je als je het internet wil beleven altijd sporen van je identiteit achterlaat is een [i]fact of lifei], als je dat niet wil, moet je heel paranoia aan de slag (en dan nog). Tot die tijd, geef je gegevens en data niet aan bedrijven waarvan je niet zeker weet wat het verdienmodel is. China is een mooi voorbeeld waar je liever niet je gegevens wilt hebben liggen, Rusland een andere.

[Reactie gewijzigd door OldSchoolPhoto op 15 juli 2016 15:15]

Je vergeet de usa een land wat ons al jaren lang stelselmatig bespioneerd
Als je echt de controle wil behouden over je data is de enige optie: geen smartphone. En ook geen PC met internet. Misschien een PC met linux, VPN en enkel privacy minded diensten.

Weinig haalbaar voor de overgrote meerderheid van ons :)
Als je echt de controle wil behouden over je data is de enige optie: geen smartphone. En ook geen PC met internet. Misschien een PC met linux, VPN en enkel privacy minded diensten.

Weinig haalbaar voor de overgrote meerderheid van ons :)
En hoe zie je dat dan voor je, die VPN ?
Ga je zelf in elk land een server hosten, achter slot en grendel ?
Want 99% van de VPN diensten is commercieel, en roepen van alles, zonder dat je als eindgebruiker controle hebt over wat er verzameld wordt.
"wij loggen niets" is makkelijk neergezet, maar is dat ook zo ?

Frappant dat men kritisch is op de overheden, en hun verzamelwoede, maar dan wel zijn data in handen legt van 'commerciŽle' aanbieders.
Alsof daar niets mis kan gaan ..
Alles kan mis gaan. Ergens, op een bepaald moment moet je je vertrouwen stellen in iets . En dat houdt steeds een risico in. Maar een VPN gebruiken is altijd beter dan geen VPN gebruiken.

Overigens is mijn ervaring met Private Internet Access VPN best goed: onlangs zijn hun Russische servers in beslag genomen nadat een zoveelste omstreden Poetin-wet in werking trad, net om het feit dat ze geen logs bij houden. Dat biedt dan toch iets meer garantie dan je ISP die sowieso wťl alles bij houdt.
Als je echt de controle wil behouden over je data is de enige optie: geen smartphone.
Dus ik heb geen controle over de data op mijn smartphone? Ik heb alleen open source apps op mijn smartphone. Ik host een DNS-server en een SSH-server op mijn Raspberry Pi. Al het verkeer van mijn smartphone gaat geŽncrypt via een SSH-tunnel naar mijn Raspberry Pi. De DNS-server op mijn Raspberry Pi blokkeert alle tracking en advertenties.
Dat is fijn, maar je OS is in de kern 'lek'. Het kernsysteem van Android stuurt gewoon continu gegevens door naar Google.

Daarom dat privacy minded smartphones Android volledig ondersteboven halen en installatie van Google apps onmogelijk maken (cf. de Unaphone).

Op XDA deed iemand een vergaande analyse en mod van z'n Android phone in een poging om het 100% af te schermen van Google. Kort verhaal: het is niet gelukt. Kan de link even niet terugvinden.
Met gapps wel ja, maar ik gebruik geen gapps en ik heb Android zelf gecompileerd. Sowieso kan ik dat net zo makkelijk blokkeren op de DNS-server op mijn Raspberry Pi.
Het is makkelijk om te zeggen wat je nŪet moet doen. Moeilijker is om te zeggen wat je dan wťl moet doen.
Dus ik mag niks te maken hebben met China en Rusland. De VS ook niet, want [insert 3-letter organisatie]. Europa zelf is het schoothondje van de VS.
Wat blijft er over? Zuid-Amerika? Wellicht wel gezien 'onze' klokkenluiders daar heen vluchten, plus landen als BraziliŽ die zich niet veel aantrekken van 'de rest'.

Zie bijvoorbeeld nieuws omtrent BraziliŽ:
https://tweakers.net/zoeken/?keyword=brazili%EB
- Whatsapp blokkade
- arrestatie FB-directeur
- eigen internetkabel richting Europa
- onderzoek concurrentie Google
- aanklacht richting Samsung
- Apple verliest merkenrecht
- eisen stop spionage
- bedrijven verplichten lokale opslag
ik vraag me af of het iemand ene reet kon schelen wat er in brazilie gebeurt als zij niet de host voor FIFA en nu de Olympische spelen waren.

Over 2 jaar is iedereen BraziliŽ vergeten en gaat men Extra focussen op hoe slecht de Russische regering is en daarna Qatar.

[Reactie gewijzigd door majetta op 15 juli 2016 15:33]

Brazilie is al heel lang een grote, opkomende industriele macht. De B in BRIC landen staat voor Brazilie :) Wat daar gebeurt is dus wel degelijk interessant voor veel bedrijven.
Echter zijn ze al decennia aan het opkomen maar er daadwerkelijk komen doen ze niet echt. Sterker ze lijken meer in een negatieve spiraal te zitten. Iets wat ze gemeen hebben met bijna alle brics landen.
Gemeten naar Bruto Nationaal Product is BraziliŽ anders gewoon al de 9e economie van de wereld. Omgerekend per hoofd van de bevolking hebben ze nog een weg te gaan maar economisch gezien komt het land goed mee.
Het gaat juist per hoofd van de bevolking de rest is leuke statistiek maar daar hebben de burgers niets aan.

Het land komt economisch helemaal niet mee, zeker niet nu de grondstoffenmarkt is ingestort. Het is een armoedig, crimineel en corrupt land.

In een veel slechtere staat dan bv Polen wat een veel slechtere uitgangspositie had in de jaren 90.

[Reactie gewijzigd door icecreamfarmer op 15 juli 2016 16:30]

Mee eens, maar je kan wel bewust kiezen waar je de risico's acceptabel vindt en waar niet.
Mee eens, maar je kan wel bewust kiezen waar je de risico's acceptabel vindt en waar niet.
Zolang ik niet in China kom, heb ik meer te vrezen van (opslag in) Europa en de VS lijkt me. De grootste conflicten/oorlogen van de afgelopen eeuw zijn gedaan in/door de westerse wereld dan wel gelinkt aan westerse invloeden.
Dat verklaart de politieke onrust daar.
Wel aan de Amerikanen dan? Ook niet, als je het niet erg vindt. Ik vind de Amerikanen ook knap ziek over de manier waarop zij de boel denken te controleren. De Yanks zijn wereldkampioen "je-privacy-te-grabbel-gooien". Ik bedoel: er wordt bij de Amerikaanse douane al dingen gevraagd als: "Heb je een Facebook-account?" Je schijnt niet verplicht te zijn die vraag te beantwoorden, maar het maakt je waarschijnlijk wŤl verdacht bij de Yanks als je dit soort vragen niet wilt beantwoorden.

Moraal van dit verhaal: mij maakt het niet uit wie naar mijn gegevens vist: de Chinezen, de Russen of de Amerikanen.... ik wil het van alle partijen niet dat ze het doen. Daar kan ik heel duidelijk over zijn.
De Amerikanen zijn nogal goed in het vragen om uitlevering van Europese burgers. Wat dat betreft vind ik het minder erg als mijn gegeven bij de Chinezen staan.
Doet hij dit op alle platformen, dus bijvoorbeeld ook op iOS, Windows Phone en Android? Klinkt eng, zeker als je mobieltje ook doelwit van deze verrassing kan zijn (lijkt nu niet zo).

[Reactie gewijzigd door Wolvganger op 15 juli 2016 15:25]

Zou er totdat er meer duidelijk is ver van weg blijven... (en eigenlijk daarna ook...)
Of de ontwikkelaar heeft per ongeluk de opt out functie verprutst of het is expres, in beide gevallen niet genoeg respect voor privacy en wat de gebruiker wil...
Hun logo komt me best wel bekend voor. Maar van waar?

Wie wie zou het logo gekopieerd hebben?

Maxthon: https://ic.tweakimg.net/ext/i/imagenormal/1355130613.jpeg
Xiaomi Mi: http://static.truste.com/...6/05/07211449/mi-logo.png

[Reactie gewijzigd door TehEnforce op 16 juli 2016 21:46]

maxthon was eerder dan xaoimi

maxthon bestond al sinds 1995-2000, dus ook eerder dan crome
En gebruikten ze toen al dat logo dan.
de M gebruikten ze toen al in hun logo, alleen hebben ze de huidige logo's gemodernizeerd.
http://imagenes.es.sftcdn...n/34000/34383/myie2-6.jpg
http://technews.co/2014/05/23/xiaomi-born-to-copy/

http://old-forum.maxthon.com/thread-11478-1-1.html
en hier een topic van het "new-old-fora" (het old-old fora is nog wel ergens te vinden, maar word niet meer gebruikt sinds mx versie 4)
daar vind je vooral content voor mx versie 3.?.?.?.? (last versie) (weet het exacte nummer niet meer)
-------------------------
binnenkort brengen ze trouwens MX5.0.0.2600 (alpha)
heb die versie nog niet getest, (wacht totdat het in stable beta is)

[Reactie gewijzigd door darknessblade op 18 juli 2016 20:15]

Ik vermoed dat mocht men een zelfde analyse doen op wat op de gemiddelde smartphone geÔnstalleerd staat er gelijkaardige zaken aan het licht zouden komen.

Enerzijds goed dat beveiligingsonderzoekers zich de moeite getroosten om apps te analyseren, anderzijds is het wat van een verloren zaak: de datahonger die Facebook/Google heeft aangewakkerd is niet meer te stoppen.

*sigh*
Waarom zou het argument 'maar zij doen dat ook!' een valide reden zijn om te stoppen met onderzoeken en het er maar bij te laten?

Juist in deze digitale periode waar niet bepaald duidelijk is waar je data wordt opgeslagen, is het belangrijk te weten wie er wat opslaat. Op deze manier kun je zelf bepalen met welke partij je in zee gaat.

[Reactie gewijzigd door geekeep op 15 juli 2016 14:48]

Zegt ie toch nergens... Enkel dat het spijtig is dat dit soort nieuws zo "normaal" is geworden. 5 Jaar geleden stonden de nekharen overeind met dit soort nieuws. Nu kijk je er amper van op.
"Een verloren zaak" trek ik anders gelijk met "begin er maar niet aan". Verder zegt TheBlackBird ook nergens dat het "normaal" is, maar dat er grote jongens zijn die het (in grotere mate) ook doen. Oftewel, waarom druk maken over Maxthon, als je via andere partijen al harder gepakt wordt.

Beetje vergelijkbaar met het stoppen met milieunormen handhaven binnen Europa omdat China zich er niks van aantrekt.
Ik benoemde de situatie als dweilen met de kraan open. Ik pleit niet voor het stoppen met onderzoek, integendeel: zoveel mogelijk doorgaan! Ook al is het een verloren zaak.
Ga er gewoon vanuit dat alles wat je stuurt ergens terecht komt, en kijk gewoon uit wat je post.
Dat is het enige wat je kan doen.
Tja dat is best wel vervelend, ik ben al jaren een Maxthon gebruiker. Hopelijk komt er binnenkort een statement van de makers van Maxton zelf. Juist Maxthon was de browser die beweerde niets aan de NSA door te spelen.

Aan de andere kant, ben ik nou echt een potentieel doelwit van de makers? Zijn er onderzoeken gedaan/gaande naar de concurrerende browsers?

Om maar niet te denken over de controversiŽle virusscanner die ik gebruik. Qihoo. Schijnveiligheid allemaal. Of moet ik het in een andere context zien?

Wie is nog wel te vertrouwen?
Zijn er naast (op) Firefox (gebaseerde browsers) nog andere browsers die nŪet naar huis bellen eigenlijk?

Chrome, Opera en Edge/IE doen dat, voor zover ik weet, ook wel. Hoewel de hoeveelheid details van de logs zal verschillen onderling. Maxthon maakt hier wel een flater door gewoon een opt-out functie te negeren.
SRWare Iron, ook gebaseerd op Chromium (net zoals Chrome).
SRWare Iron, daar zijn de meningen over verdeeld.
Zo is er deze mening:
The Iron browser is a scam and the developer is using you.
(Bron)

Ik heb niet genoeg kennis van zaken om een goed oordeel te vellen, maar SRWare Iron lijkt me gewoon een slechte, achterlopende chrome rip-off.
Dit article komt altijd terug als er iets over SRWare Iron wordt vermeld...., maar dat article komt uit 2012..
Dat het oud is betekent niet dat het onwaar of ongeldig is.
Naar mijn weten is SRWare in tussentijd niet gestopt met het meeleveren van bladwijzers met reclame. En omdat het een Chrome-clone is zal hij hoogstwaarschijnlijk altijd achterlopen op Chrome (bv. met beveiligingsupdates).

No go voor mij.
"Dat het oud is betekent niet dat het onwaar of ongeldig is."
Het kan altijd netjes zijn geupdate in toekomstige updates....

"Naar mijn weten zijn ze niet gestop",
Het lijkt erop dat je het niet verder uitgezicht en gebaseerd op een oud article.... ;)
Alles wat artikel beschrijft is nog steeds het geval. Een browser waar je ver weg van moet blijven.
Bron? Bewijs? Update?
Bron is mijn eigen testen, kan hier wel wat wireshark dumps posten...
Deze kende ik nog niet, inderdaad wel een opmerkelijke zaak!
Netscape Navigator 1.12 doet het niet.
Eerlijk gezegd vertrouw ik de chinese browsers sowieso al voor geen meter. Toen ik hoorde dat Opera in Chinese handen viel werd hij ook gelijk van al mijn apparaten verwijdert.
De suggestie die je hier wekt is niet juist: Firefox doet dat ook!

Things you should know
Firefox automatically connects to us and our service providers to provide updates, security, Snippets, Firefox Health Report, and other features.Learn More

When you ask it to, Firefox also connects to Mozilla to provide you with features such as Sync, location services, crash reporting, and add-ons.Learn More

https://www.mozilla.org/en-US/privacy/firefox/
Ik zou dat wel eens willen weten van Chromium. Want ik vermoed namelijk dat deze ook terugbelt naar Google omdat little snitch bij het opstarten ervan ook alleen maar naar google diensten wilt connecten alvorens de startpagina op mag komen.
Little snitch wilt alleen maar naar google diensten connecten bij het opstarten, alvorens iets de startpagina op mag komen?

Dat is de Google Software Updater, met Hands Off! heb ik het ook. http://www.deanmichaeldorman.com/node/15
Hmm nice dank je. Ik kan niet moderaten dus als iemand anders hem even wilt tippen?

En toch vermoed ik dat er tussen die updaterondes ook andere informatie wordt verstuurd. Iemand enig idee hoe ik dat op kan sniffen?

[Reactie gewijzigd door Yzord op 15 juli 2016 15:16]

Daar heb je tools voor om dat te bekijken. Netmon, Wireshark et cetera.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True