UC Browser на iOS собирает ваши данные даже в режиме инкогнито

Хорошо, это довольно очевидная PSA — не устанавливать китайский веб-браузер на ваш iPhone, но UC Browser от Alibaba на самом деле является четвертым по популярности браузером в мире по количеству пользователей и восьмым самым загружаемым мобильным приложением за последнее десятилетие …

Исследователь безопасности, чья работа была проверена двумя другими, обнаружил, что UC Browsers — это почти такой же кошмар конфиденциальности, как вы можете себе представить. Он не только регистрирует каждый веб-сайт, который вы когда-либо посещаете, и отправляет его на сервер, принадлежащий Alibaba, но и делает это даже в режиме инкогнито. О, и он также захватывает ваш IP-адрес.

Об этом сообщает Forbes.

Если бы вы в этом месяце загрузили принадлежащее Alibaba приложение UC Browser, будь то из магазина Google Android Play или Apple iOS App Store, вам бы пообещали, что с его режимом «инкогнито» не будет записываться история просмотра веб-страниц или поиска. Такие гарантии, наряду с обещаниями быстрой загрузки, сделали приложение, созданное дочерней компанией Alibaba UCWeb, невероятно популярным во всем мире. […]

Но обещания о конфиденциальности, сделанные UCWeb, вводят в заблуждение, по словам исследователя в области безопасности Габи Цирлиг. Его выводы, подтвержденные для Forbes двумя другими независимыми исследователями, показывают, что в версиях UC Browser для Android и iOS каждый веб-сайт, который посещает пользователь, независимо от того, находится он в режиме инкогнито или нет, отправляется на серверы, принадлежащие UCWeb. Сирлиг сказал, что IP-адреса, которые можно использовать для определения приблизительного местоположения пользователя в городе или районе, где он находится, также отправлялись на серверы, контролируемые Alibaba. […]

Цирлиг смог обнаружить проблему путем реверс-инжиниринга некоторых зашифрованных данных, которые, как он заметил, отправлялись обратно в Пекин. После взлома ключа он мог видеть, что каждый раз, когда он посещал веб-сайт, он зашифровывался и передавался обратно в компанию Alibaba. На iOS от Apple ему даже не нужно было перепроектировать шифрование, потому что на устройстве его фактически не было (хотя оно было зашифровано при передаче).

Cirlig обеспечивает видеозахват данных, включая уникальный идентификатор, присвоенный ему браузером, который вы можете посмотреть ниже. Полную информацию можно найти в сообщении блога Medium.

В прошлом было обнаружено, что другие китайские браузеры делают то же самое, в том числе один, предустановленный на телефонах Xiaomi.