Internet eksplodował w piątek z wiadomością, że rozszerzenia Google Chrome są sprzedawane i są wstrzykiwane z adware. Ale mało znanym i dużo ważniejszym faktem jest to, że twoje rozszerzenia szpiegują cię i sprzedają Twoją historię przeglądania zacienionym korporacjom. HTG bada.
Wersja TL; DR:
Czy oficjalnie nazywamy to spyware? Cóż ... to nie jest takie proste. Wikipedia definiuje oprogramowanie szpiegujące jako "Oprogramowanie pomagające w gromadzeniu informacji o osobie lub organizacji bez ich wiedzy i które mogą wysyłać takie informacje do innego podmiotu bez zgody konsumenta".Nie oznacza to, że całe oprogramowanie gromadzące dane jest koniecznie oprogramowaniem szpiegującym i nie oznacza, że całe oprogramowanie, które przesyła dane z powrotem na ich serwery, musi być spyware.
Ale gdy deweloper rozszerzenia robi wszystko, aby ukryć fakt, że każda odwiedzana strona jest przechowywana i wysyłana do korporacji, która płaci za te dane, a jednocześnie zakopuje ją w ustawieniach jako "anonimowe statystyki użytkowania", jest przynajmniej problemem. Każdy rozsądny użytkownik mógłby założyć, że jeśli programista chce śledzić statystyki użytkowania, będzie śledził użycie samego rozszerzenia - ale jest odwrotnie. Większość tych rozszerzeń śledzi wszystko, co robiszz wyjątkiem używając rozszerzenia. Po prostu śledząty.
Staje się to jeszcze bardziej problematyczne, ponieważ nazywają to "anonimowy statystyki użycia"; słowo "anonimowy" oznacza, że niemożliwe byłoby ustalenie, do kogo należą te dane, tak jakby szorowały one wszystkie dane danymi. Ale nie są. Tak, oczywiście, używają anonimowego tokena do reprezentowania ciebie, a nie twojego imienia i nazwiska lub adresu e-mail, ale każda odwiedzana strona jest powiązana z tym tokenem. Tak długo, jak masz zainstalowane to rozszerzenie.
Śledź historię przeglądania przez kogoś wystarczająco długo i możesz dokładnie określić, kim są.
Ile razy otworzyłeś własną stronę profilu na Facebooku, czy na Pinterest, Google+ lub na innej stronie? Czy zauważyłeś kiedyś, jak adres URL zawiera Twoje imię lub coś, co Cię identyfikuje? Nawet jeśli nigdy nie odwiedziłeś żadnej z tych stron, ustalenie, kim jesteś, jest możliwe.
Nie wiem jak wy, ale moja historia przeglądania jestmój,i nikt nie powinien mieć do tego dostępu, oprócz mnie. Istnieje powód, dla którego komputery mają hasła, a wszyscy starsi od 5 wiedzą o kasowaniu historii przeglądarki. To, co odwiedzasz w Internecie, jest bardzo osobiste i nikt nie powinien mieć listy stron, które odwiedzę, ale mnie, nawet jeśli moje nazwisko nie jest wyraźnie związane z listą.
Nie jestem prawnikiem, ale zasady programu Google dla programistów dotyczące rozszerzeń Chrome wyraźnie mówią, że programista rozszerzeń nie powinien publikować żadnych moich danych osobowych:
Nie zezwalamy na nieautoryzowane publikowanie prywatnych i poufnych informacji o osobach, takich jak numery kart kredytowych, numery identyfikacyjne organów rządowych, numery prawa jazdy i inne numery licencji, ani żadnych innych informacji, które nie są publicznie dostępne.
Dokładnie jak moja historia przeglądania nie jest danymi osobowymi? Z pewnością nie jest publicznie dostępny!
Problem jest potęgowany przez dużą liczbę rozszerzeń, które wstrzykują reklamy na wiele odwiedzanych stron. Te rozszerzenia po prostu umieszczają swoje reklamy tam, gdzie losowo wybierają, aby umieścić je na stronie. Wymagane są tylko mały fragment tekstu określający, skąd pochodzi reklama, którą większość osób będzie ignorować, ponieważ większość ludzi nawet nie spójrz na reklamy.
Za każdym razem, gdy masz do czynienia z reklamami, będą również włączone pliki cookie. (Warto zauważyć, że ta strona jest wspierana reklamami, a reklamodawcy umieszczają pliki cookie na twoim dysku twardym, tak jak każda witryna w Internecie.) Nie uważamy, że pliki cookie są ogromną sprawą, ale jeśli tak, to są ładne łatwo sobie z tym poradzić.
Rozszerzenia adware są mniej problematyczne, jeśli możesz w to uwierzyć, ponieważ to, co robią, jest bardzo oczywiste dla użytkowników rozszerzenia, którzy mogą wtedy zacząć o nim głośno i spróbować zatrzymać programistę. Zdecydowanie życzymy sobie, aby Google i Mozilla zmieniły swoją niedorzeczną politykę, aby zabronić tego zachowania, ale nie możemy pomóc im zachować zdrowego rozsądku.
Z drugiej strony, śledzenie odbywa się w sekrecie, lub jest w zasadzie tajne, ponieważ próbują ukryć to, co robią w legalese w opisie rozszerzeń, i nikt nie przewija na końcu pliku readme, aby dowiedzieć się, czy to rozszerzenie jest będzie śledzić ludzi.
Te rozszerzenia są "dozwolone", aby zaangażować się w to śledzenie, ponieważ "ujawniają" je na swojej stronie opisu lub w pewnym momencie w panelu opcji. Na przykład rozszerzenie Hover Zoom, które ma milion użytkowników, na dole strony z opisem opisuje na samym dole:
Hover Zoom używa anonimowych statystyk użytkowania. Można to wyłączyć na stronie opcji, nie tracąc przy tym żadnych funkcji.Po włączeniu tej funkcji użytkownik zezwala na zbieranie, przekazywanie i wykorzystywanie anonimowych danych dotyczących użytkowania, w tym między innymi na przekazywanie osobom trzecim.
Gdzie dokładnie w tym opisie wyjaśniono, że będą śledzić każdą odwiedzaną stronę i wysłać adres URL do strony trzeciej, która płaci zaTwój dane? W rzeczywistości wszędzie twierdzą, że są sponsorowane przez linki partnerskie, całkowicie ignorując fakt, że szpiegują cię. Tak, zgadza się, oni również wstrzykują reklamy w różne miejsca. Ale o co ci bardziej chodzi, o reklamę wyświetlaną na stronie, czy o zabranie całej historii przeglądania i przesłanie jej komuś innemu?
Unieś panel wymuszania powiększenia Są w stanie uciec z tego powodu, że mają małe małe pole wyboru znajdujące się w panelu opcji, które mówi "Włącz anonimowe statystyki użytkowania", i możesz wyłączyć tę "funkcję" - choć warto zauważyć, że jest domyślnie sprawdzona.
To szczególne rozszerzenie miało długą historię złych zachowań, cofając się od pewnego czasu. Deweloper został niedawno przyłapany na zbieraniu danych przeglądania włącznie z Formularz danych ... ale został również złapany w zeszłym roku, sprzedając dane o tym, co wpisałeś w innej firmie. Dodali teraz politykę prywatności, która wyjaśnia dokładniej, co się dzieje, ale jeśli musisz przeczytać politykę prywatności, aby dowiedzieć się, że jesteś szpiegowany, masz kolejny problem.
Podsumowując, milion osób jest szpiegowanych tylko przez to jedno rozszerzenie. I to jest po prostujedentych rozszerzeń - jest o wiele więcej robienia tego samego.
To rozszerzenie wymaga zbyt wielu uprawnień. Zaprzeczać! Nie ma absolutnie żadnego sposobu, aby dowiedzieć się, kiedy rozszerzenie zostało zaktualizowane o oprogramowanie szpiegujące, a ponieważ wiele typów rozszerzeń wymaga ogromnej ilości uprawnień, aby w ogóle działały poprawnie, zanim przekształcą się w narzędzia do wstrzykiwania adwokatów, więc wygrałeś pojawi się monit, gdy pojawi się nowa wersja.
Co gorsza, wiele z tych rozszerzeń zmieniło właściciela w ciągu ostatniego roku - a każdy, kto kiedykolwiek napisał rozszerzenie, jest zalewany prośbami o sprzedawanie swoich rozszerzeń zacienionym osobom, które następnie infekują Cię reklamami lub szpiegują Ciebie. Ponieważ rozszerzenia nie wymagają żadnych nowych uprawnień, nigdy nie będziesz miał okazji dowiedzieć się, które z nich dodały tajne śledzenie bez Twojej wiedzy.
W przyszłości oczywiście należy unikać instalowania rozszerzeń lub dodatków w całości lub byćbardzo uważaj na to, które instalujesz. Jeśli poprosi o uprawnienia do wszystkiego na komputerze, kliknij przycisk Anuluj i uruchom.
W rzeczywistości istnieją inne rozszerzenia, które mają wbudowany pełny kod śledzenia - ale ten kod jest obecnie wyłączony. Te rozszerzenia wysyłają polecenia ping do serwera co 7 dni, aby zaktualizować swoją konfigurację. Te są skonfigurowane do wysyłania jeszcze większej ilości danych - obliczają dokładnie, ile masz otwartych kart i ile czasu spędzasz na każdej z nich.
Przetestowaliśmy jedno z tych rozszerzeń, nazywane Autokopijnym oryginałem, nakłaniając go do myślenia, że zachowanie śledzenia miało zostać włączone, i mogliśmy od razu zobaczyć masę danych wysłanych z powrotem na ich serwery. Było 73 takie rozszerzenia w Chrome Store, a niektóre w magazynie dodatków do Firefoksa. Można je łatwo zidentyfikować, ponieważ pochodzą od "wips.com" lub "partnerów wips.com".
Zastanawiasz się, dlaczego martwimy się o kod śledzenia, który jeszcze nie jest jeszcze włączony? Ponieważ ich strona opisu nie mówi ani słowa o kodzie śledzenia - jest zakopana jako pole wyboru dla każdego z rozszerzeń. Więc ludzie instalują rozszerzenia, zakładając, że pochodzą od firmy wysokiej jakości.
A to tylko kwestia czasu, zanim ten kod śledzenia zostanie włączony.
Przeciętny człowiek nigdy nie dowie się nawet, że to szpiegowanie się dzieje - nie zobaczą oni prośby do serwera, nie będą nawet mieli możliwości powiedzieć, że to się dzieje. Ogromna większość tych milionów użytkowników nie zostanie w żaden sposób naruszona ... poza tym, że ich dane osobowe zostały skradzione spod nich. Jak sobie z tym poradzić? Nazywa się Fiddler.
Fiddler to narzędzie do debugowania stron internetowych, które działa jako proxy i buforuje wszystkie żądania, dzięki czemu można zobaczyć, co się dzieje. To jest narzędzie, którego użyliśmy - jeśli chcesz powielić w domu, po prostu zainstaluj jedno z tych rozszerzeń szpiegowskich, np. Hover Zoom, a zobaczysz dwie prośby do stron podobnych do t.searchelper.com i api28.webovernet.com dla każdej wyświetlanej strony. Jeśli zaznaczysz znacznik Inspektora, zobaczysz kilka tekstów zakodowanych w base64 ... w rzeczywistości z jakiegoś powodu został dwukrotnie zakodowany w base64. (Jeśli chcesz mieć pełny tekst przykładowy przed dekodowaniem, schowaliśmy go w pliku tekstowym tutaj).
Będą śledzić każdą odwiedzaną witrynę, nawet te z HTTPS Po pomyślnym odkodowaniu tego tekstu zobaczysz dokładnie, co się dzieje. Odsyłają one bieżącą stronę, którą odwiedzasz, wraz z poprzednią stroną i unikalnym identyfikatorem, który Cię identyfikuje, oraz kilka innych informacji. Bardzo przerażające w tym przykładzie jest to, że byłem wtedy na mojej stronie bankowej, która jest szyfrowana za pomocą protokołu SSL przy użyciu protokołu HTTPS. Zgadza się, te rozszerzenia nadal śledzą cię na stronach, które powinny być zaszyfrowane.
s = 1809 & md = 21 &pid = mi8PjvHcZYtjxAJ& sess = 23112540366128090 & sub = chrome
& q =https% 3A // secure.bankofamerica.com / login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A/ /secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Możesz upuścić api28.webovernet.com i drugą stronę w przeglądarce, aby zobaczyć, dokąd prowadzą, ale uratujemy ci napięcie: są one faktycznie przekierowaniami do API dla firmy o nazwie "Podobne strony internetowe", która jest jedną z wielu firm robiąc tego rodzaju śledzenie i sprzedając dane, aby inne firmy mogły śledzić, co robią ich konkurenci.
Jeśli jesteś typem ryzykownym, możesz łatwo znaleźć ten sam kod śledzenia, otwierając stronę chrome: // extensions i klikając tryb programisty, a następnie "Sprawdź widoki: html / background.html" lub podobny tekst, który prosi o sprawdzenie rozszerzenia. Dzięki temu zobaczysz, co to rozszerzenie działa cały czas w tle.
Ta ikona kosza jest twoim przyjacielem Po kliknięciu, aby sprawdzić, natychmiast zobaczysz listę plików źródłowych i wiele innych rzeczy, które prawdopodobnie będą dla ciebie greckie. Ważne w tym przypadku są dwa pliki o nazwach tr_advanced.js i tr_simple.js. Zawierają kod śledzenia i można bezpiecznie powiedzieć, że jeśli widzisz te pliki w dowolnym rozszerzeniu, jesteś szpiegowany lub zostaniesz szpiegowany w pewnym momencie. Niektóre rozszerzenia zawierają oczywiście inny kod śledzenia, więc samo rozszerzenie, którego nie ma, nie ma znaczenia. Oszuści wydają się być podchwytliwe.
(Zauważ, że opakowaliśmy kod źródłowy tak, aby zmieścił się w oknie) Prawdopodobnie zauważysz, że adres URL po prawej stronie nie jest taki sam, jak ten wcześniejszy. Rzeczywisty kod źródłowy śledzenia jest dość skomplikowany i wydaje się, że każde rozszerzenie ma inny link monitorujący.
Jeśli masz rozszerzenie, które znasz i którym ufasz, a już zweryfikowaliśmy, że nie zawiera niczego złego, możesz się upewnić, że rozszerzenie nigdy nie potajemnie aktualizuje oprogramowanie szpiegowskie - ale jest to naprawdę ręczne i prawdopodobnie nie to, będziesz chciał zrobić.
Jeśli nadal chcesz to zrobić, otwórz panel Rozszerzenia, znajdź identyfikator rozszerzenia, a następnie przejdź do% localappdata% \ google \ chrome \ Dane użytkownika \ default \ Rozszerzenia i znajdź folder zawierający Twoje rozszerzenie. Zmień wiersz update_url w pliku manifest.json, aby zastąpić clients2.google.com przez localhost.Uwaga:nie byliśmy w stanie przetestować tego z faktycznym rozszerzeniem, ale powinno to zadziałać.
W przypadku Firefoksa proces jest o wiele łatwiejszy. Przejdź do ekranu dodatków, kliknij ikonę menu i odznacz opcję "Aktualizuj dodatki automatycznie".
Ustaliliśmy już, że wiele rozszerzeń jest aktualizowanych, aby uwzględnić kod śledzenia / szpiegowania, reklamy iniekcyjne i kto wie, co jeszcze. Są sprzedawane niewiarygodnym firmom, albo deweloperzy są kupowani z obietnicą łatwych pieniędzy.
Po zainstalowaniu dodatku nie ma możliwości dowiedzenia się, że nie będą one zawierały oprogramowania szpiegującego. Wszystko, co wiemy, to to, że istnieje wiele dodatków i rozszerzeń, które robią te rzeczy.
Ludzie pytali nas o listę, a ponieważ badaliśmy, znaleźliśmy wiele rozszerzeń robiących te rzeczy, nie jesteśmy pewni, czy uda nam się stworzyć ich pełną listę. Dodamy ich listę do tematu forum powiązanego z tym artykułem, dzięki czemu możemy pomóc naszej społeczności w wygenerowaniu większej listy.
Zobacz pełną listę lub Prześlij nam swoją opinię
