Développé par l'éditeur chinois Maxthon International Limited, le navigateur Maxthon est pointé du doigt dans une étude d'experts en sécurité informatique de Exatel et Fidelis Cybersecurity (PDF). Il lui est reproché d'envoyer régulièrement des données sensibles des utilisateurs à un serveur basé en Chine.

Le fichier envoyé via HTTP est dénommé ueipdata.zip (il est censé être une image de type jpeg). Il contient un fichier chiffré au nom de dat.txt. Une clé de déchiffrement a toutefois pu être trouvée facilement. Il s'agit d'un chiffrement AES 128 en mode ECB et une phrase de passe est codée en dur dans le fichier binaire du navigateur.

Le fichier dat.txt comprend des informations sur le système d'exploitation, la définition de l'écran, le type de CPU et la quantité de mémoire installée, l'état d'activation d'un bloqueur de publicité, l'adresse de la page d'accueil, la liste de tous les sites consultés et y compris les recherches Google, une liste des applications installées avec leur numéro de version.

Les chercheurs considèrent que le navigateur Maxthon n'est pas sûr et permet de mener des attaques ciblées à la lumière des données sensibles qu'il collecte et diffuse. Le rapport écrit qu'un attaquant peut intercepter les données entre le navigateur et le serveur en Chine par une attaque de type man-in-the-middle.

Le fichier ueipdata.zip est créé dans le cadre d'un programme UEIP pour User Experience Improvement Program. Il est présenté comme optionnel et entièrement anonyme. Il doit aider les développeurs à améliorer le produit et les services proposés. D'après les chercheurs de Exatel, les données sensibles contenues dans dat.txt sont toutefois envoyées même si l'utilisateur n'a pas opté pour le programme UEIP.

Maxthon dit prendre les allégations de Exatel et Fidelis Cybersecurity très au sérieux, et précise qu'une enquête approfondie est en cours. Un simple bug ?