Dieser iPhone- und Android-Browser sammelt Benutzerdaten sogar im Inkognito-Modus

(Bildnachweis: Sharaf Maksumov/Shutterstock)

Einer der weltweit führenden Webbrowser sammelt die Standorte der Benutzer, den Browserverlauf und die Identifikationsdaten von iOS- und Android-Geräten und sendet sie an chinesische Server, selbst im Inkognito-Modus, sagen Sicherheitsforscher.

Der UC-Browser, hergestellt und vermarktet von UCWeb, einer Tochtergesellschaft des chinesischen Internetgiganten Alibaba, 'exfiltriert den Browser- und Suchverlauf der Benutzer aus seinen auf Mobilgeräten auf der ganzen Welt vertriebenen Produkten, selbst wenn der Browser im Inkognito-Modus verwendet wird', schrieb London -basierter Forscher Gabi Cirlig in einem Blogbeitrag gestern (1. Juni). 'Dieses Verhalten ist sowohl auf Android- als auch auf iOS-Geräten konsistent.'



bester preis auf dem neuesten ipad
  • Black Friday-Angebote: Sehen Sie sich jetzt die besten Angebote an!

Wie Chrome, Firefox und Safari gibt UC an, dass sein Inkognito-Modus privat ist, schrieb Cirlig. Der Browser Google Play-Seite sagt, dass der Inkognito-Modus 'Browsing ohne Hinterlassen von Verlauf, Cookies, Caches usw.' ermöglicht. und dass 'Inkognito-Modus Ihr Surf- und Seherlebnis vollkommen privat und geheim macht.'

Cirlig sagte gegenüber Forbes, dass andere von ihm untersuchte Browser, einschließlich Chrome, diese Dinge im Inkognito-Modus nicht taten.

Laut einem von Cirlig veröffentlichten Screenshot von Statcounter steht UC weltweit an vierter Stelle unter den Webbrowsern, obwohl sein Anteil nur 2,3% des weltweiten Marktes ausmachte. Die Android-Hauptversion des UC-Browsers hat mehr als 500 Millionen Installationen allein von Google Play, auf die in China nicht zugegriffen werden kann.

Bis 2018 Wall Street Journal-Artikel sagte, UC würde Google in Asien außerhalb Chinas entthronen. Forbes' Thomas Brewster stellte fest, dass UC viele Benutzer in Indien hatte, bis dieses Land Mitte 2020 nach einem tödlichen Grenzgefecht zwischen den beiden Nationen Dutzende von chinesischen Apps verbot.

Allerdings galt der Browser lange Zeit als eher schnüffelnd. Dokumente, die vom ehemaligen NSA-Auftragnehmer Edward Snowden durchgesickert waren, zeigten, dass der kanadische Geheimdienst Anfang der 2010er Jahre herausfand, dass der UC-Browser hat viele sensible Daten durchgesickert , Verhalten, das mindestens bis 2015 andauerte.

Deine Daten aufsaugen

In Zusammenarbeit mit dem argentinischen Forscher Nicolas Agnese stellte Cirlig fest, dass der UC-Browser die Netzwerkschnittstellen-ID (MAC-Adresse), die Telefonhardware-ID (IMEI), die Seriennummer des Telefons, die Betriebssystemversion, den Telefontyp, den Browserverlauf und die Suchanfragen aufsaugt , IP-Adresse und Zeitzone und sendet alles an in China registrierte Server, selbst im Inkognito-Modus auf iOS oder Android.

Es sendet auch eine eindeutige proprietäre Geräte-ID, die für den UC-Browser spezifisch zu sein scheint, von der Cirlig bemerkte, dass sie 'Benutzer leicht mit Fingerabdrücken versehen und sie an ihre echte Person zurückführen könnte'.

Mit all diesen Informationen können Benutzer sowohl physisch als auch über das Internet verfolgt und überwacht werden, weit entfernt von der versprochenen „völlig privaten und geheimen“ Erfahrung.

Forbes ließ die Ergebnisse von Cirlig und Agnese von Andrew Tierney, einem angesehenen britischen Sicherheitsforscher, überprüfen.

Smartwatches für Android-Handys

Hier ist ein YouTube-Video von Daten, die aus dem UC-Browser gesammelt werden, der im Inkognito-Modus von einem emulierten Telefon ausgeführt wird.

Auf iOS schlechter als auf Android

Das Paar stellte fest, dass der UC-Browser bei der Verarbeitung dieser sensiblen Informationen auf Android etwas „besser“ war als auf iOS, ungeachtet der Tatsache, dass diese Art der Datenerfassung überhaupt nicht stattfinden sollte.

Unter iOS wurden die personenbezogenen Daten komprimiert, aber nicht verschlüsselt, bevor sie an die chinesischen Server übertragen wurden, sodass jeder, der den Datenverkehr abhörte, sie lesen konnte. [Oder vielleicht nicht; siehe unten.] Auf Android wurden die Daten sowohl komprimiert als auch verschlüsselt, obwohl Cirlig und Agnese einen Entschlüsselungsschlüssel im Quellcode der UC-Browser-App fanden.

[ Korrektur : Agnese hat sich nach der Veröffentlichung dieser Geschichte an uns gewandt, um darauf hinzuweisen, dass die von der iOS-Version des UC-Browsers übertragenen Daten tatsächlich verschlüsselt waren, da sie über eine standardmäßige sichere HTTPS-Verbindung von Browser zu Server gesendet wurden. Cirlig und Agnese hatten ihre Tests mit ihrem eigenen HTTPS-Zertifikat durchgeführt, was bedeutete, dass sie HTTPS-Daten problemlos entschlüsseln konnten.

Um die von der iOS-Version des UC-Browsers übertragenen Daten zu lesen, müssten Sie TLS, den von den meisten Webbrowsern verwendeten Verschlüsselungsstandard, brechen oder umgehen. Dies kann mit einer Reihe von Methoden erfolgen, aber das liegt außerhalb des Rahmens dieses Artikels.]

Ab Mittwoch (2. Juni) war die englischsprachige Version des UC-Browsers in den meisten Ländern aus Apples App Store verschwunden, die chinesischsprachige blieb jedoch erhalten. Der Google Play Store listete den UC-Hauptbrowser sowie die Versionen 'Mini' und 'Turbo' auf, alle in englischer Sprache.

'Zum Zeitpunkt des Schreibens', schrieb Cirlig in seinem Blog-Beitrag, 'wurden diese Probleme auch nach Kontaktaufnahme mit Alibaba nicht behoben, da die Browsing-/Standortdaten der Benutzer in Echtzeit an die Server von UCWeb gesendet wurden.'

Die besten Apple iPhone SE (2020) Angebote von heutePläne EntsperrtHolen Sie sich ein neues iPhone SE + Premium Wireless ab nur 30 $/Monat Mint Mobile USA Kein Vertrag Apple iPhone SE (2020) (Ratenzahlung Apple iPhone SE (2020) (Ratenzahlung Kostenlos im Voraus 31,62 $/mth Unbegrenzt Minuten Unbegrenzt Texte 4GB Daten Mint Mobile USA Kein Vertrag Unbegrenzt Minuten Unbegrenzt Texte 4GB Daten Angebot anzeigen beim Minze-Handy Kostenlos im Voraus 31,62 $/mth Angebot anzeigen beim Minze-Handy Holen Sie sich eine virtuelle Geschenkkarte im Wert von 100 USD + KOSTENLOSE Beat Studio Buds – schwarz, wenn Sie zu Visible wechseln und aktivieren Kein Vertrag Apple iPhone SE (2020) (Ratenzahlung Apple iPhone SE (2020) (Ratenzahlung Kostenlos im Voraus $ 56/mth Unbegrenzt Minuten Unbegrenzt Texte Unbegrenzt Daten Kein Vertrag Unbegrenzt Minuten Unbegrenzt Texte Unbegrenzt Daten Angebot anzeigen beim Kostenlos im Voraus $ 56/mth Angebot anzeigen beim Black Friday: Erhalten Sie 80 $ Rabatt auf dieses Telefon + 50 % Rabatt für Pläne über 10 $ im ersten Monat des Dienstes Tello US Kein Vertrag Apple iPhone SE (2020) (64GB) Apple iPhone SE (2020) (64GB) $ 319 im Voraus $ 39/mth Unbegrenzt Minuten Unbegrenzt Texte Unbegrenzt Daten Tello US Kein Vertrag Unbegrenzt Minuten Unbegrenzt Texte Unbegrenzt Daten Angebot anzeigen beim Tell $ 319 im Voraus $ 39/mth Angebot anzeigen beim Tell Wir prüfen täglich über 250 Millionen Produkte auf die besten Preise