Abo
  • Services:

Spähsoftware: Maxthon-Browser sendet kritische Daten nach China

Forscher haben entdeckt, dass der alternative Browser Maxthon sicherheitsrelevante Nutzerdaten an einen Server in Peking sendet. Die Daten ließen sich hervorragend für gezielte Angriffe nutzen. Und sie sind nur schlecht gegen Dritte abgesichert.

Artikel veröffentlicht am ,
Der Maxthon-Browser stammt aus dem Pekinger Dongcheng District. Die Firma Maxthon Ltd. hat aber auch ein Büro in San Francisco.
Der Maxthon-Browser stammt aus dem Pekinger Dongcheng District. Die Firma Maxthon Ltd. hat aber auch ein Büro in San Francisco. (Bild: Wikimedia/CC-BY-SA 3.0)

Der aus China stammende Browser Maxthon sendet gegen den expliziten Willen des Nutzers kritische Nutzerdaten an Server in China. Das haben Forscher der polnischen Sicherheitsfirma Exatel herausgefunden, wie sie in einem gestern veröffentlichten Paper berichten.

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Lidl Digital, Neckarsulm

In den betroffenen Nutzerdaten soll sich neben Informationen über verwendete CPU, Betriebssystem und installierte Plugins auch die gesamte Browserhistorie des Nutzers befinden. Damit werden automatisch nicht nur eine Liste besuchter Webseiten, sondern auch möglicherweise in URLs eingebettete Benutzernamen und Passwörter abgefischt. Darüber hinaus fanden die Forscher in den nach China übertragenen Daten eine vollständige Liste aller auf ihrem Rechner installierten Programme einschließlich genauer Versionsnummern.

Gesammelte Daten perfekt für Cyberangriff

Die so gesammelten Informationen bieten eine ideale Grundlage für gezielte Angriffe auf die Nutzer von Maxthon. Mit dem Wissen um installierte Software und deren Versionen können etwaige Sicherheitslücken identifiziert werden. Mit Hilfe der Browserhistorie ist es zudem möglich, Phishing-Seiten zu präparieren und gezielt Malware zu verteilen. "Die übermittelten Daten enthalten im Grunde alles, was man in einer Cyberoperation sammeln würde, um genau zu wissen, wo man angreifen muss", bestätigte Justin Harvey, CSO bei Fidelis Cybersecurity gegenüber Security Week.

Dem Exatel-Paper zufolge werden die Daten in einer verschlüsselten ZIP-Datei per HTTP an einen Server in Peking übermittelt. Die Verschlüsselung konnten die Forscher jedoch leicht per Reverse Engineering aushebeln, denn die Daten werden mit einem konstanten, 16 Byte langen AES-Schlüssel (nämlich "eu3o4[r04cml4eir") verschlüsselt, der fest in den Quellcode des Browsers eingebaut ist. Die nach China versandten sicherheitsrelevanten Daten können also nicht nur von den Maxthon-Machern gelesen werden, sondern auch von einem beliebigen Man in the Middle.

Maxthon bisher uneinsichtig

Kontaktiert von besorgten Nutzern zeigte sich Maxthon uneinsichtig: Die übermittelten Daten seien Teil von Maxthons "User Experience Improvement Program" zur Verbesserung des Produktes. Die Teilnahme daran sei freiwillig und vollkommen anonym, und könne im Browser per Opt-out deaktiviert werden. Die Exatel-Forscher fanden jedoch, dass der Maxthon-Browser die Daten auch nach dem Opt-out noch in identischem Umfang sammelt und nach China sendet.

Die Entdeckung durch Exatel ist besonders brisant, weil der Maxthon-Browser in der Vergangenheit damit warb, besonders sicher zu sein und die Privatsphäre seiner User gegen die Übergriffe der NSA zu verteidigen. In einem Browser-Test des PC Magazins vom Januar 2016 landet Maxthon in der Kategorie "Sicherheit" gar auf Platz 2, noch vor Mozillas Firefox.

In einem älteren Blogpost von Maxthon heißt es: "Die Sicherheit und Privatsphäre bei Maxthon verdienen besonderes Lob. Warum? Weil wir Do Not Track unterstützen, mit dem Sie ohne jede Aufzeichnung der von Ihnen besuchten Webseiten surfen können." Diesen Blogpost sollte Maxthon wohl schleunigst korrigieren.



Anzeige
Spiele-Angebote
  1. 24,99€
  2. 6,66€
  3. (u. a. Diablo 3 Ultimate Evil Edition, Gear Club Unlimited, HP-Notebooks)
  4. 1,29€

My2Cents 20. Jul 2016

Man kann während der Installation nicht alles deaktivieren. Da sind noch etliche...

dantist 16. Jul 2016

Wenn z.B. Origin eine Liste aller installierten Programme auf USA-Server überträgt...

glasen77 15. Jul 2016

Und was willst du uns damit sagen? Maxthon stammt schon immer aus China, der Firmensitz...

nicoledos 15. Jul 2016

Dann melde aber auch Chrome, Opera, Dolphin und wie sie alle heißen. Alles Browser, die...

jaw 15. Jul 2016

Das ist korrekt, deswegen steht in der Meldung ja auch 16 "Byte", und nicht Bit.


Folgen Sie uns
       


Asus ROG Phone - Hands On auf der Computex 2018

Das ROG ist ein interessantes Konzept, das sich schon beim an Gamer gerichteten Design von anderen Telefonen unterscheidet. Außergewöhnlich sind die vielen Zubehörteile: darunter ein Handheld-Adapter, ein Desktop-Dock, ein Anstecklüfter und ein Controllermodul. Wir haben es uns angeschaut.

Asus ROG Phone - Hands On auf der Computex 2018 Video aufrufen
Elektroautos: Ladesäulen und die Tücken des Eichrechts
Elektroautos
Ladesäulen und die Tücken des Eichrechts

Wenn Betreiber von Ladestationen das Wort "eichrechtskonform" hören, stöhnen sie genervt auf. Doch demnächst soll es mehr Lösungen geben, die die Elektromobilität mit dem strengen deutschen Eichrecht in Einklang bringen. Davon profitieren Anbieter und Fahrer gleichermaßen.
Eine Analyse von Friedhelm Greis

  1. WE Solutions Günstige Elektroautos aus dem 3D-Drucker
  2. Ladesäulen Chademo drängt auf 400-kW-Ladeprotokoll für E-Autos
  3. Elektromobiltät UPS kauft 1.000 Elektrolieferwagen von Workhorse

Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen

Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  2. Cityairbus Mit Siemens soll das Lufttaxi abheben
  3. Verkehr Porsche entwickelt Lufttaxi

    •  /