📆 25. 4. 2017 📂 UR Browser, VPN, Proxy

UR je rychlý a bezpečný webový prohlížeč. Díky vestavěné VPN, blokování reklam, antiviru a dalším vlastnostem vám UR pomáhá chránit vaše soukromí.

Tedy až na to, že nepomáhá. Ta „VPN“ je jenom proxy a navíc spojení mezi prohlížečem a proxy serverem není ani šifrované.

Výrobcem prohlížeče UR je AdaptiveBee, beta verze spatřila světlo světa v červnu 2016 a v dubnu 2017 překročil počet jeho stažení jeden milion. Prohlížeč se chlubí pár vlastnostmi, které znesnadňují sledování a profilování uživatelů, jednou z nich je VPN, která skrývá váš webový provoz and vytváří bezpečný „tunel“, takže vaše data zasílaná online jsou zašifrována a nečitelná pro kohokoliv, kdo se vás snaží špehovat. Alespoň tak to tvrdí web prohlížeče. Zaujalo mě to, nejenom proto, že jsem před nějakou dobou zkoumal jak funguje „VPN“ v Opeře.

Ale pěkně od začátku. Prohlížeč UR je založen na Chromiu 55 s Flashem verze 24, dozvíte se to na chrome://version/:

UR Browser verze 55

Aktuální verze Chromia je 58 a má Flash 25. Nové verze obvykle opravují několik bezpečnostních chyb, takže Chromium i Flash updatovat opravdu chcete. V tomto prohlížeč UR selhává, Chromium 55 bylo vydáno v prosinci 2016. Výrobce UR na webu hrdě hlásá, že během používání prohlížeče se nic neposílá do Googlu (tedy kromě souborů, které stahujete, viz dále) a automatické aktualizace dokonce figurují v seznamu vypnutých vlastností, které reporty odesílají. Na druhou stranu, Zásady ochrany osobních údajů tvrdí, že prohlížeč UR pravidelně kontaktuje ADAPTIVEBEE, aby zjistil, jestli jsou dostupné nějaké nové verze. No, trochu se v tom ztrácím.

Ninja mode (づ─⍘─)づ

Zapnout a ovládat „VPN“ v prohlížeči můžete jen z vašeho Homescreenu nebo v anonymním okně (kterému v UR říkají Ninja mode), ačkoliv když „VPN“ zapnete, tak funguje i v normálních oknech.

Zapnutá VPN

„VPN“ poskytuje SaferVPN a ze začátku máte 500 MB „VPN“ provozu zdarma každý měsíc. Schválně výraz „VPN“ dávám do uvozovek, protože to není VPN, ale obyčejná…

Nešifrovaná proxy

Aktualizace 16.6.: V nové verzi UR (55.1.2883.54) již žádná „VPN“ ani nešifrovaná proxy není, výrobce tuto vlastnost po mých námitkách odstranil.

Když povolíte „VPN“ a podíváte se v chrome://net-internals na záložku Events nebo Proxy, tak zjistíte, že se konfigurace proxy změnila:

PROXY_CONFIG_CHANGED

Proxy server bude nastaven na IP adresu, kterou používá SaferVPN. Port 8080 napovídá, že spojení na proxy servery šifrované nebude. Když se zapnutou „VPN“ načtete nějakou stránku, tak se v Eventech opravdu ukáže, že se stránka načetla přes proxy:

HTTP_STREAM_JOB

Trochu víc prozkoumáme informace z proxy service:

t=15813 [st= 0]   +PROXY_SERVICE  [dt=0]
t=15813 [st= 0]      PROXY_SERVICE_RESOLVED_PROXY_LIST
                     --> pac_string = "PROXY 195.154.217.40:8080"
t=15813 [st= 0]   -PROXY_SERVICE

PROXY v nastavení pac_string značí obyčejnou proxy, HTTPS na témže místě by znamenalo šifrovanou proxy. Asi je čas vydumpovat nějaké pakety:

Unencrypted connection to the proxy server

Spojení mezi prohlížečem UR a proxy serverem je opravdu nešifrované. Na obrázku vidíte čitelný HTTP požadavek GET http://ifconfig.co/ HTTP/1.1, hlavičku User-Agent a vlastně i všechno ostatní. Vaše data nejsou vůbec nijak chráněna, navzdory tvrzením, že vaše data jsou zašifrována a nečitelná pro kohokoliv, kdo se vás snaží špehovat. To není pravda, když používáte „VPN“ v prohlížeči UR, tak jsou vaše data snadno dostupná každému, kdo poslouchá.

Zdrojový kód rozšíření

V prohlížeči je „VPN“ implementována jako rozšíření s id cmgcichealemeanengbbclalkbkdifcm, takže se dá práce s proxy ověřit. Proxy servery se nastavují v souboru background.js, tohle jsou podstatné části:

function setProxy(proxy, proxySetCallback) {
    var proxyCfg = {
        mode: "fixed_servers",
        rules: {
            singleProxy: { host: ip, port: port }
        }
    };
    chrome.proxy.settings.set({ value: proxyCfg, scope: 'regular' }, proxySetCallback);
}

Dokumentace k API chrome.proxy říká, že když neuvedete scheme v atributu singleProxy, tak se použije nešifrované http. Náprava je jednoduchá, rozšíření by do singleProxy mělo přidat scheme: "https". Ale to by ty proxy servery musely umět TLS, což zatím tak nevypadá. Přidáním scheme: "https" by se spojení mezi prohlížečem a proxy serverem zašifrovalo, podobně to vlastně dělá Opera a jejich secure proxy.

Blokujte reklamy jedním kliknutím

Nastavení AdControl

Vestavěné blokování reklam je jen přebarvená verze rozšíření Adblock Plus ze srpna 2016 (extenze v UR má id chboeokhjkjpnoklbbohmpfeecmdmkef), najdete to v souboru info.js:

addonName: "adblockpluschrome",
addonVersion: "1.12.2",

Do Google se nic nehlásí

Prohlížeč UR obsahuje také integrovaný antivirus, který kontroluje všechny stažené soubory. To je pravda pokud stahujete jen soubory, které mají tyto přípony: 7z, bat, cab, csv, cur, dll, doc, docx, exe, fla, font, gz, gzip, lz, lzip, msi, odp, pdf, pot, pps, ppt, pptm, pptx, pub, rar, rtf, tar, tar.bz2, tgz, ttf, txt, wps, xls, zip. Dá se to opět najít ve zdrojovém kódu, soubor virusScanner.js z rozšíření Downloader to prozradil. Jak tedy vlastně ten scanner funguje? Pro každý stažený soubor s výše uvedenou příponou se spočítá SHA-256 hash a pošle se na VirusTotal. Zpátky se vrátí informace o tom, jestli to náhodou není nějaký známý zákeřný soubor. Majitelem VirusTotalu je Google.

Ale nebojte, všechna stažení (tedy kromě jmen souborů) se reportují na core.beeapi.net, což je služba, kterou vlastní AdaptiveBee, výrobce UR. Požadavek po uložení obrázku vypadá např. takto:

POST /v2/core?channel=BETA HTTP/1.1
Host: core.beeapi.net
Connection: keep-alive
Content-Length: 229
Content-Type: application/json
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Chrome/55.0.2883.95 UR/55.1.2883.21
Accept-Encoding: gzip, deflate, br
AppInstance-UID: 370aebe1-9b30-4f8f-932e-2de68136ee18
AppKey-UID: A5801B98-5507-4F71-8083-CCF835283A1F

{
  "Action": "Download_File",
  "AppInstanceUid": "370aebe1-9b30-4f8f-932e-2de68136ee18",
  "AppKey": "A5801B98-5507-4F71-8083-CCF835283A1F",
  "Category": "DOWNLOADER",
  "CoreVersion": "55.1.2883.21",
  "Label": "image/jpeg",
  "OS": "win",
  "OSVersion": 4
}

No a snad na závěr, váš Homescreen se vždy stahuje z http://hs.ur-results.com/, tedy přes obyčejné HTTP, a obsahuje GPT (Google Publisher Tags), součást reklamního systému od Googlu.

★☆☆☆☆ už bych to znovu nestáhl

Prohlížeč UR vypadá spíš jako podvod. Samá troufalá tvrzení, ale většina z nich není pravda. Prohlížeč uživatele a jejich data nijak navíc nechrání. Vyhněte se mu.


Mohlo by vás také zajímat

Aktualizace článku

16.6. Z nové verze byla „VPN“ i proxy kompletně odstraněna

Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu:

Úvod do PHP
(11. 12. 2017 Praha)

Třídy a objekty v PHP
(12. 12. 2017 Praha)

Bezpečnost PHP aplikací
(13. 12. 2017 Praha)

HTTPS pro vývojáře a správce
(14. 12. 2017 Praha)

Výkonnost webových aplikací
(březen 2018 Praha)

English