• IT-Karriere:
  • Services:

Spähsoftware: Maxthon-Browser sendet kritische Daten nach China

Forscher haben entdeckt, dass der alternative Browser Maxthon sicherheitsrelevante Nutzerdaten an einen Server in Peking sendet. Die Daten ließen sich hervorragend für gezielte Angriffe nutzen. Und sie sind nur schlecht gegen Dritte abgesichert.

Artikel veröffentlicht am ,
Der Maxthon-Browser stammt aus dem Pekinger Dongcheng District. Die Firma Maxthon Ltd. hat aber auch ein Büro in San Francisco.
Der Maxthon-Browser stammt aus dem Pekinger Dongcheng District. Die Firma Maxthon Ltd. hat aber auch ein Büro in San Francisco. (Bild: Wikimedia/CC-BY-SA 3.0)

Der aus China stammende Browser Maxthon sendet gegen den expliziten Willen des Nutzers kritische Nutzerdaten an Server in China. Das haben Forscher der polnischen Sicherheitsfirma Exatel herausgefunden, wie sie in einem gestern veröffentlichten Paper berichten.

Stellenmarkt
  1. SC-Networks GmbH, Starnberg
  2. enowa AG, verschiedene Standorte

In den betroffenen Nutzerdaten soll sich neben Informationen über verwendete CPU, Betriebssystem und installierte Plugins auch die gesamte Browserhistorie des Nutzers befinden. Damit werden automatisch nicht nur eine Liste besuchter Webseiten, sondern auch möglicherweise in URLs eingebettete Benutzernamen und Passwörter abgefischt. Darüber hinaus fanden die Forscher in den nach China übertragenen Daten eine vollständige Liste aller auf ihrem Rechner installierten Programme einschließlich genauer Versionsnummern.

Gesammelte Daten perfekt für Cyberangriff

Die so gesammelten Informationen bieten eine ideale Grundlage für gezielte Angriffe auf die Nutzer von Maxthon. Mit dem Wissen um installierte Software und deren Versionen können etwaige Sicherheitslücken identifiziert werden. Mit Hilfe der Browserhistorie ist es zudem möglich, Phishing-Seiten zu präparieren und gezielt Malware zu verteilen. "Die übermittelten Daten enthalten im Grunde alles, was man in einer Cyberoperation sammeln würde, um genau zu wissen, wo man angreifen muss", bestätigte Justin Harvey, CSO bei Fidelis Cybersecurity gegenüber Security Week.

Dem Exatel-Paper zufolge werden die Daten in einer verschlüsselten ZIP-Datei per HTTP an einen Server in Peking übermittelt. Die Verschlüsselung konnten die Forscher jedoch leicht per Reverse Engineering aushebeln, denn die Daten werden mit einem konstanten, 16 Byte langen AES-Schlüssel (nämlich "eu3o4[r04cml4eir") verschlüsselt, der fest in den Quellcode des Browsers eingebaut ist. Die nach China versandten sicherheitsrelevanten Daten können also nicht nur von den Maxthon-Machern gelesen werden, sondern auch von einem beliebigen Man in the Middle.

Maxthon bisher uneinsichtig

Kontaktiert von besorgten Nutzern zeigte sich Maxthon uneinsichtig: Die übermittelten Daten seien Teil von Maxthons "User Experience Improvement Program" zur Verbesserung des Produktes. Die Teilnahme daran sei freiwillig und vollkommen anonym, und könne im Browser per Opt-out deaktiviert werden. Die Exatel-Forscher fanden jedoch, dass der Maxthon-Browser die Daten auch nach dem Opt-out noch in identischem Umfang sammelt und nach China sendet.

Die Entdeckung durch Exatel ist besonders brisant, weil der Maxthon-Browser in der Vergangenheit damit warb, besonders sicher zu sein und die Privatsphäre seiner User gegen die Übergriffe der NSA zu verteidigen. In einem Browser-Test des PC Magazins vom Januar 2016 landet Maxthon in der Kategorie "Sicherheit" gar auf Platz 2, noch vor Mozillas Firefox.

In einem älteren Blogpost von Maxthon heißt es: "Die Sicherheit und Privatsphäre bei Maxthon verdienen besonderes Lob. Warum? Weil wir Do Not Track unterstützen, mit dem Sie ohne jede Aufzeichnung der von Ihnen besuchten Webseiten surfen können." Diesen Blogpost sollte Maxthon wohl schleunigst korrigieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 158€ (Bestpreis!)
  2. mit Rabattcode "GESCHENK5"
  3. 65,95€
  4. (u. a. Seagate Game Drive PS4 2TB The Last of Us 2 Special Edition für 78,29€, Seagate Game...

My2Cents 20. Jul 2016

Man kann während der Installation nicht alles deaktivieren. Da sind noch etliche...

dantist 16. Jul 2016

Wenn z.B. Origin eine Liste aller installierten Programme auf USA-Server überträgt...

glasen77 15. Jul 2016

Und was willst du uns damit sagen? Maxthon stammt schon immer aus China, der Firmensitz...

nicoledos 15. Jul 2016

Dann melde aber auch Chrome, Opera, Dolphin und wie sie alle heißen. Alles Browser, die...

jaw 15. Jul 2016

Das ist korrekt, deswegen steht in der Meldung ja auch 16 "Byte", und nicht Bit.


Folgen Sie uns
       


Microsoft Flight Simulator - Test

Hardwarehungriger Höhenflug: Der neue FluSi sieht fantastisch aus und spielt sich auch so.

Microsoft Flight Simulator - Test Video aufrufen
Thinkpad Trackpoint Keyboard 2 im Test: Tolle kompakte Tastatur für Thinkpad-Fans
Thinkpad Trackpoint Keyboard 2 im Test
Tolle kompakte Tastatur für Thinkpad-Fans

Lenovos externe Thinkpad-Tastatur bietet alle Vorteile der Tastatur eines Thinkpad-Notebooks. Sie arbeitet drahtlos und mit Akkutechnik.
Ein Test von Ingo Pakalski

  1. Thinkpad X1 Fold Das faltbare Thinkpad kommt im Oktober
  2. Thinkpad X1 Nano Lenovo macht das Carbon winzig
  3. Thinkpad E14 Gen2 (AMD) im Test Gelungener Ryzen-Laptop für 700 Euro

Corsair K60 RGB Pro im Test: Teuer trotz Viola
Corsair K60 RGB Pro im Test
Teuer trotz Viola

Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
Ein Test von Tobias Költzsch

  1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
  2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
  3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar

    •  /