Deze iPhone, Android-browser verzamelt gebruikersgegevens, zelfs in incognitomodus

Krediet: Sharaf Maksumov/Shutterstock

Een van 's werelds toonaangevende webbrowsers verzamelt gebruikerslocaties, browsegeschiedenis en identificatiegegevens van iOS- en Android-apparaten en stuurt deze naar Chinese servers, zelfs in incognitomodus, zeggen beveiligingsonderzoekers.

De UC-browser, gemaakt en op de markt gebracht door UCWeb, een dochteronderneming van de Chinese internetgigant Alibaba, 'exfiltreert de browse- en zoekgeschiedenis van gebruikers uit zijn producten die op mobiele apparaten over de hele wereld worden verspreid, zelfs wanneer de browser in incognitomodus wordt gebruikt', schreef Londen -gebaseerde onderzoeker Gabi Cirlig in een blogpost van gisteren (1 juni). 'Dit gedrag is consistent op zowel Android- als iOS-apparaten.'



beste waterlekdetectieapparatuur
  • Black Friday deals: bekijk nu al de beste aanbiedingen!

Net als Chrome, Firefox en Safari stelt UC dat de incognitomodus privé is, schreef Cirlig. De brower's Google Play-pagina zegt dat de incognitomodus 'browsen biedt zonder geschiedenis, cookies, caches, enz.' achter te laten. en die 'Incognitomodus maakt je browse- en kijkervaring volkomen privé en geheim.'

Cirlig vertelde Forbes dat andere browsers die hij onderzocht, waaronder Chrome, deze dingen niet deden in de incognitomodus.

UC staat wereldwijd op de vierde plaats van webbrowsers, volgens een screenshot van Statcounter dat Cirlig heeft gepost, hoewel het aandeel slechts 2,3% van de wereldwijde markt bedroeg. De belangrijkste Android-versie van de UC-browser heeft meer dan 500 miljoen installaties, alleen via Google Play, dat niet toegankelijk is in China.

tot 2018 Wall Street Journal stuk zei dat UC 'Google onttroonde in Azië' buiten China. Forbes' Thomas Brewster merkte op dat UC veel gebruikers in India had totdat dat land medio 2020 tientallen Chinese apps verbood na een dodelijke grensconflict tussen de twee landen.

De browser werd echter lange tijd als nogal snoopy beschouwd. Uit documenten die zijn gelekt door voormalig NSA-aannemer Edward Snowden bleek dat de Canadese inlichtingendienst begin 2010 ontdekte dat: de UC-browser heeft veel gevoelige gegevens gelekt , gedrag dat tot in ieder geval 2015 voortduurde.

Uw informatie opzuigen

In samenwerking met de in Argentinië gevestigde onderzoeker Nicolas Agnese ontdekte Cirlig dat de UC-browser de netwerkinterface-ID (MAC-adres), telefoonhardware-ID (IMEI), serienummer van de telefoon, OS-versie, telefoontype, browsegeschiedenis, zoekopdrachten van een telefoon opzuigt , IP-adres en tijdzone, alles naar in China geregistreerde servers verzenden, zelfs in incognitomodus op iOS of Android.

Het stuurt ook een unieke eigen apparaat-ID die specifiek lijkt te zijn voor de UC-browser, wat Cirlig opmerkte 'zodat gebruikers gemakkelijk vingerafdrukken kunnen nemen en ze terug kunnen koppelen aan hun echte persona's'.

Met al deze informatie kunnen gebruikers zowel fysiek als via internet worden gevolgd en gevolgd, in tegenstelling tot de beloofde 'perfect privé en geheime' ervaring.

Forbes liet de bevindingen van Cirlig en Agnese verifiëren door Andrew Tierney, een gerespecteerde Britse veiligheidsonderzoeker.

hoe cortana permanent te verwijderen

Hier is een YouTube-video van gegevens die worden verzameld uit de UC-browser die in de incognitomodus wordt uitgevoerd vanaf een geëmuleerde telefoon.

Erger op iOS dan op Android

Het paar ontdekte dat de UC-browser een beetje 'beter' was in het omgaan met deze gevoelige informatie op Android dan op iOS, ongeacht het feit dat dit soort gegevensverzameling helemaal niet zou moeten plaatsvinden.

Op iOS werden de persoonlijke gegevens gecomprimeerd maar niet versleuteld voordat ze naar de Chinese servers werden verzonden, wat betekent dat iedereen die het verkeer onderschepte ze kon lezen. [Of misschien niet; zie onder.] Op Android waren de gegevens zowel gecomprimeerd als gecodeerd, hoewel Cirlig en Agnese een decoderingssleutel vonden die verborgen was in de broncode van de UC-browserapp.

[ Correctie : Agnese nam contact met ons op nadat dit verhaal was gepubliceerd om erop te wijzen dat de gegevens die door de iOS-versie van de UC-browser werden verzonden inderdaad versleuteld waren omdat het via een standaard beveiligde browser-naar-server HTTPS-verbinding ging. Cirlig en Agnese hadden hun tests uitgevoerd met hun eigen HTTPS-certificaat, wat betekende dat ze HTTPS-gegevens gemakkelijk konden decoderen.

Om de gegevens te lezen die worden verzonden door de iOS-versie van de UC-browser, moet u TLS, de coderingsstandaard die door de meeste webbrowsers wordt gebruikt, breken of omzeilen. Dit kan op verschillende manieren, maar dat valt buiten het bestek van dit stuk.]

Vanaf woensdag (2 juni) was de Engelstalige versie van de UC-browser in de meeste landen uit de App Store van Apple verdwenen, maar de Chineestalige bleef. De Google Play Store vermeldde de belangrijkste UC-browser plus 'mini'- en 'turbo'-versies, allemaal in het Engels.

'Op het moment van schrijven', schreef Cirlig in zijn blogpost, 'zijn deze problemen niet opgelost, zelfs niet nadat contact is opgenomen met Alibaba, waarbij browse-/locatiegegevens van gebruikers in realtime naar de servers van UCWeb worden verzonden.'

De beste Apple iPhone SE (2020) deals van vandaagPlannen ontgrendeldOntvang een nieuwe iPhone SE + Premium Wireless vanaf slechts $ 30 per maand Mint Mobiel VS Geen contract Apple iPhone SE (2020) (Afbetalingen Apple iPhone SE (2020) (Afbetalingen Vrij vooraf $ 31,62/mnd Onbeperkt minuten Onbeperkt teksten 4GB gegevens Mint Mobiel VS Geen contract Onbeperkt minuten Onbeperkt teksten 4GB gegevens Bekijk Deal Bij Mint mobiel Vrij vooraf $ 31,62/mnd Bekijk Deal Bij Mint mobiel Ontvang een virtuele cadeaubon van $ 100 + GRATIS Beat Studio Buds - zwart wanneer je overschakelt en activeert naar Zichtbaar Geen contract Apple iPhone SE (2020) (Afbetalingen Apple iPhone SE (2020) (Afbetalingen Vrij vooraf $ 56/mnd Onbeperkt minuten Onbeperkt teksten Onbeperkt gegevens Geen contract Onbeperkt minuten Onbeperkt teksten Onbeperkt gegevens Bekijk Deal Bij Vrij vooraf $ 56/mnd Bekijk Deal Bij Black Friday: ontvang $ 80 korting op deze telefoon + 50% korting voor abonnementen van meer dan $ 10 voor de eerste maand van service Tello VS Geen contract Apple iPhone SE (2020) (64GB) Apple iPhone SE (2020) (64GB) $ 319 vooraf $ 39/mnd Onbeperkt minuten Onbeperkt teksten Onbeperkt gegevens Tello VS Geen contract Onbeperkt minuten Onbeperkt teksten Onbeperkt gegevens Bekijk Deal Bij Tello $ 319 vooraf $ 39/mnd Bekijk Deal Bij Tello We controleren elke dag meer dan 250 miljoen producten voor de beste prijzen