Alibaba отслеживает web-активность миллионов пользователей UC Browser

Исследователь в области кибербезопасности Габи Сирлиг (Gabi Cirlig) сообщил о проблемах конфиденциальности, связанных с мобильным приложением UC Browser от компании UCWeb (дочерняя компания Alibaba). В описании UC Browser в магазинах App Store и Google Play сообщается, что в режиме «инкогнито» не будет записываться история просмотра web-страниц или поиска пользователя.

По словам специалиста, в версиях UC Browser для Android и iOS каждый посещаемый пользователем web-сайт, независимо от включенного режима «инкогнито», отправляется на серверы UCWeb. IP-адреса, которые можно использовать для определения приблизительного местоположения пользователя в городе или районе, также отправлялись на серверы, контролируемые Alibaba. Серверы были зарегистрированы в Китае и имели расширение китайского доменного имени .cn, но размещались в США.

Кроме того, каждому пользователю также присваивается идентификационный номер, позволяя китайской компании эффективно контролировать их активность на разных сайтах.

Сирлиг обнаружил проблему путем обратной разработки некоторых зашифрованных данных, которые отправлялись в Пекин. Каждый раз, когда он посещал web-сайт, данные зашифровывались и передавались Alibaba.

В настоящее время англоязычная версия UC Browser недоступна в Apple App Store, хотя была доступна версия на китайском языке. По словам Сирлига, китайская версия не передавала подобные данные. Неизвестно, почему была удалена английская версия, но она по-прежнему доступна в Google Play.