Ostrzeżenie Rozszerzenia przeglądarki wyszukują Cię
Internet eksplodował w piątek z wiadomością, że rozszerzenia Google Chrome są sprzedawane i wstrzykiwane z adware. Ale mało znanym i ważniejszym faktem jest to, że twoje rozszerzenia szpiegują cię i sprzedają Twoją historię przeglądania zacienionym korporacjom. HTG bada.
Wersja TL; DR:
- Dodatki do przeglądarki dla przeglądarki Chrome, Firefox i prawdopodobnie innych przeglądarek śledzą każdą odwiedzaną stronę i wysyłają te dane firmie zewnętrznej, która płaci za te informacje.
- Niektóre z tych dodatków umieszczają również reklamy na stronach, które odwiedzasz, a Google wyraźnie zezwala na to z jakiegoś powodu, o ile jest "wyraźnie ujawnione"..
- Miliony ludzie są śledzeni w ten sposób i nie mają pojęcia.
Czy oficjalnie nazywamy to spyware? Cóż ... to nie jest takie proste. Wikipedia definiuje oprogramowanie szpiegujące jako "Oprogramowanie pomagające w zbieraniu informacji o osobie lub organizacji bez ich wiedzy i które mogą wysyłać takie informacje do innego podmiotu bez zgody konsumenta". Nie oznacza to, że całe oprogramowanie gromadzące dane to oprogramowanie szpiegujące, co nie oznacza, że całe oprogramowanie, które przesyła dane z powrotem na ich serwery, musi być spyware.
Ale gdy deweloper rozszerzenia stara się ukryć fakt, że każda odwiedzana strona jest przechowywana i wysyłana do korporacji, która płaci za te dane, a jednocześnie zakopuje ją w ustawieniach jako "anonimowe statystyki użytkowania", jest przynajmniej problemem. Każdy rozsądny użytkownik mógłby założyć, że jeśli programista chce śledzić statystyki użytkowania, będzie śledził jedynie użycie samego rozszerzenia - ale jest odwrotnie. Większość tych rozszerzeń śledzi wszystko, co robisz z wyjątkiem używając rozszerzenia. Oni po prostu śledzą ty.
Staje się to jeszcze bardziej problematyczne, ponieważ nazywają to "anonimowy statystyki użycia"; słowo "anonimowy" oznacza, że niemożliwe byłoby ustalenie, do kogo należą dane dane, tak jakby szorowały one wszystkie dane. Ale nie są. Tak, oczywiście, używają anonimowego tokena do reprezentowania ciebie, a nie twojego imienia i nazwiska lub adresu e-mail, ale każda odwiedzana strona jest powiązana z tym tokenem. Tak długo, jak masz zainstalowane to rozszerzenie.
Śledź historię przeglądania przez kogoś wystarczająco długo i możesz dokładnie określić, kim są.
Ile razy otworzyłeś własną stronę profilu na Facebooku, lub na Pinterest, Google+ lub na innej stronie? Czy zauważyłeś, że adres URL zawiera Twoje imię lub coś, co Cię identyfikuje? Nawet jeśli nigdy nie odwiedziłeś żadnej z tych stron, ustalenie, kim jesteś, jest możliwe.
Nie wiem jak wy, ale moja historia przeglądania jest mój, i nikt nie powinien mieć do tego dostępu, oprócz mnie. Istnieje powód, dla którego komputery mają hasła, a wszyscy starsi od 5 wiedzą o kasowaniu historii przeglądarki. To, co odwiedzasz w Internecie, jest bardzo osobiste i nikt nie powinien mieć listy stron, które odwiedzam, ale mnie, nawet jeśli moje nazwisko nie jest ściśle związane z listą.
Nie jestem prawnikiem, ale zasady programu Google dla programistów dotyczące rozszerzeń Chrome wyraźnie mówią, że programista rozszerzeń nie powinien publikować żadnych moich danych osobowych:
Nie zezwalamy na nieautoryzowane publikowanie prywatnych i poufnych informacji o osobach, takich jak numery kart kredytowych, numery identyfikacyjne organów rządowych, numery prawa jazdy i inne numery licencji, ani żadnych innych informacji, które nie są publicznie dostępne..
Dokładnie jak moja historia przeglądania nie jest danymi osobowymi? Z pewnością nie jest publicznie dostępny!
Tak, wiele z tych rozszerzeń wstawiać reklamy zbyt
Problem pogłębia duża liczba rozszerzeń, które wstrzykują reklamy na wiele odwiedzanych stron. Te rozszerzenia po prostu umieszczają swoje reklamy tam, gdzie losowo wybierają, aby umieścić je na stronie. Wymagane są tylko mały fragment tekstu określający, skąd pochodzi reklama, którą większość osób będzie ignorować, ponieważ większość ludzi nawet nie spójrz na reklamy.
Za każdym razem, gdy masz do czynienia z reklamami, będą również pliki cookie. (Warto zauważyć, że ta strona jest wspierana reklamami, a reklamodawcy umieszczają pliki cookie na twoim dysku twardym, tak jak każda witryna w Internecie.) Nie uważamy, że pliki cookie są ogromną sprawą, ale jeśli tak, to są ładne łatwo sobie z tym poradzić.
Rozszerzenia adware są w rzeczywistości mniejszym problemem, jeśli możesz w to uwierzyć, ponieważ to, co robią, jest bardzo oczywiste dla użytkowników rozszerzenia, którzy mogą wtedy zacząć o nim głośno i spróbować zatrzymać programistę. Zdecydowanie życzymy sobie, aby Google i Mozilla zmieniły swoją niedorzeczną politykę, aby zabronić tego zachowania, ale nie możemy pomóc im uzyskać zdrowego rozsądku.
Z drugiej strony, śledzenie odbywa się w sekrecie, lub jest w zasadzie tajne, ponieważ próbują ukryć to, co robią w legalese w opisie rozszerzeń, i nikt nie przewija na końcu pliku readme, aby dowiedzieć się, czy to rozszerzenie jest będzie śledzić ludzi.
Ten szpieg jest ukryty za umową EULA i polityką prywatności
Rozszerzenia te "mogą" angażować się w to śledzenie, ponieważ "ujawniają" je na swojej stronie opisu lub w pewnym momencie w panelu opcji. Na przykład rozszerzenie Hover Zoom, które ma miliony użytkowników, na dole strony z opisem opisuje na samym dole:
Hover Zoom korzysta z anonimowych statystyk użytkowania. Można to wyłączyć na stronie opcji, nie tracąc przy tym żadnych funkcji. Po włączeniu tej funkcji użytkownik zezwala na zbieranie, przekazywanie i wykorzystywanie anonimowych danych dotyczących użytkowania, w tym między innymi na przekazywanie stronom trzecim.
Gdzie dokładnie w tym opisie wyjaśniono, że będą śledzić każdą odwiedzaną stronę i wysłać adres URL do strony trzeciej, która płaci za Twój dane? W rzeczywistości wszędzie twierdzą, że są sponsorowane przez linki partnerskie, całkowicie ignorując fakt, że szpiegują cię. Tak, to prawda, oni też wstrzykują reklamy w różnych miejscach. Ale o co ci bardziej chodzi, reklama pojawia się na stronie lub zabiera całą historię przeglądania i odsyła ją do kogoś innego?
Unieś panel wymuszania powiększeniaSą w stanie uciec z tego powodu, że mają małe małe pole wyboru znajdujące się w panelu opcji, które mówi "Włącz anonimowe statystyki użytkowania" i możesz wyłączyć tę "funkcję" - choć warto zauważyć, że jest domyślnie sprawdzone.
To szczególne rozszerzenie miało długą historię złych zachowań, cofając się od pewnego czasu. Deweloper został niedawno przyłapany na zbieraniu danych przeglądania włącznie z Formularz danych ... ale został również złapany w zeszłym roku, sprzedając dane o tym, co wpisałeś w innej firmie. Dodali teraz politykę prywatności, która wyjaśnia dokładniej, co się dzieje, ale jeśli musisz przeczytać politykę prywatności, aby dowiedzieć się, że jesteś szpiegowany, masz kolejny problem.
Podsumowując, milion osób jest szpiegowanych tylko przez to jedno rozszerzenie. I to po prostu jeden tych rozszerzeń - o wiele więcej robi to samo.
Rozszerzenia mogą zmieniać ręce lub aktualizować bez twojej wiedzy
To rozszerzenie wymaga zbyt wielu uprawnień. Zaprzeczać!Nie ma absolutnie żadnego sposobu, aby dowiedzieć się, kiedy rozszerzenie zostało zaktualizowane o oprogramowanie szpiegujące, a ponieważ wiele typów rozszerzeń wymaga ogromnej ilości uprawnień, aby w ogóle działały poprawnie, zanim przekształcą się w narzędzia do wstrzykiwania adwokatów, więc wygrałeś Zostanie wyświetlony monit, gdy pojawi się nowa wersja.
Co gorsza, wiele z tych rozszerzeń zmieniło właściciela w ciągu ostatniego roku - a każdy, kto kiedykolwiek napisał rozszerzenie, jest zalewany prośbami o sprzedawanie swoich rozszerzeń zacienionym osobom, które następnie infekują Cię reklamami lub szpiegują Ciebie. Ponieważ rozszerzenia nie wymagają żadnych nowych uprawnień, nigdy nie będziesz miał okazji dowiedzieć się, które z nich dodały tajne śledzenie bez Twojej wiedzy.
W przyszłości oczywiście należy unikać instalowania rozszerzeń lub dodatków w całości lub być bardzo uważaj na to, które instalujesz. Jeśli poprosi o uprawnienia do wszystkiego na komputerze, kliknij przycisk Anuluj i uruchom.
Ukryty kod śledzenia za pomocą przełącznika zdalnego włączania
W rzeczywistości istnieją inne rozszerzenia, które mają wbudowany pełny kod śledzenia - ale ten kod jest obecnie wyłączony. Te rozszerzenia wysyłają ping do serwera co 7 dni, aby zaktualizować swoją konfigurację. Te są skonfigurowane do wysyłania jeszcze większej ilości danych - obliczają dokładnie, ile masz otwartych kart i ile czasu spędzasz na każdej stronie.
Przetestowaliśmy jedno z tych rozszerzeń, nazywane Autokopiowanie oryginału, nakłaniając go do myślenia, że zachowanie śledzenia powinno być włączone, i mogliśmy od razu zobaczyć masę danych wysłanych z powrotem do ich serwerów. W sklepie Chrome Store było 73 takie rozszerzenia, a niektóre w magazynie dodatków do Firefoksa. Są łatwe do zidentyfikowania, ponieważ wszystkie pochodzą od "wips.com" lub "partnerów wips.com".
Zastanawiasz się, dlaczego martwimy się o kod śledzenia, który jeszcze nie jest jeszcze włączony? Ponieważ ich strona opisu nie mówi ani słowa o kodzie śledzenia - jest zakopana jako pole wyboru dla każdego z rozszerzeń. Tak więc ludzie instalują rozszerzenia, zakładając, że pochodzą od dobrej firmy.
A to tylko kwestia czasu, zanim ten kod śledzenia zostanie włączony.
Zbadać tę Awanturę Szpiegostwa
Przeciętny człowiek nigdy nie dowie się nawet, że to szpiegostwo się dzieje - nie zobaczą oni prośby do serwera, nie będą nawet mogli powiedzieć, że to się dzieje. Ogromna większość tych milionów użytkowników nie ucierpi w żaden sposób ... z wyjątkiem tego, że ich dane osobowe zostały skradzione spod nich. Jak sobie z tym poradzić? Nazywa się Fiddler.
Fiddler to narzędzie do debugowania stron internetowych, które działa jako proxy i buforuje wszystkie żądania, dzięki czemu można zobaczyć, co się dzieje. To jest narzędzie, z którego korzystaliśmy - jeśli chcesz powielić w domu, po prostu zainstaluj jedno z tych rozszerzeń szpiegowskich, np. Hover Zoom, a zobaczysz dwie prośby do stron podobnych do t.searchelper.com i api28.webovernet.com dla każdej wyświetlanej strony. Jeśli zaznaczysz znacznik Inspektora, zobaczysz kilka tekstów zakodowanych w base64 ... w rzeczywistości z jakiegoś powodu został dwukrotnie zakodowany w base64. (Jeśli chcesz mieć pełny tekst przykładowy przed dekodowaniem, schowaliśmy go w pliku tekstowym tutaj).
Będą śledzić każdą odwiedzaną witrynę, nawet te z HTTPSPo pomyślnym odkodowaniu tego tekstu zobaczysz dokładnie, co się dzieje. Odsyłają one bieżącą stronę, którą odwiedzasz, wraz z poprzednią stroną i unikalnym identyfikatorem, który Cię identyfikuje, oraz kilka innych informacji. Bardzo przerażające w tym przykładzie jest to, że byłem wtedy na mojej stronie bankowej, która jest szyfrowana SSL przy użyciu HTTPS. Zgadza się, te rozszerzenia nadal śledzą cię na stronach, które powinny być zaszyfrowane.
s = 1809 & md = 21 &pid = mi8PjvHcZYtjxAJ& sess = 23112540366128090 & sub = chrome
& q =https% 3A // secure.bankofamerica.com / login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A/ /secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Możesz upuścić api28.webovernet.com i inną stronę w przeglądarce, aby zobaczyć, dokąd prowadzą, ale uratujemy ci napięcie: są to faktycznie przekierowania do API dla firmy o nazwie "Podobne strony internetowe", która jest jedną z wielu firm robiąc tego rodzaju śledzenie i sprzedając dane, aby inne firmy mogły szpiegować, co robią ich konkurenci.
Jeśli jesteś typem ryzykownym, możesz łatwo znaleźć ten sam kod śledzenia, otwierając stronę chrome: // extensions i klikając tryb programisty, a następnie "Sprawdź widoki: html / background.html" lub podobny tekst, który prosi o sprawdzenie rozszerzenia. Dzięki temu zobaczysz, co to rozszerzenie działa cały czas w tle.
Ta ikona kosza jest twoim przyjacielemPo kliknięciu, aby sprawdzić, natychmiast zobaczysz listę plików źródłowych i wiele innych rzeczy, które prawdopodobnie będą dla ciebie greckie. Ważne w tym przypadku są dwa pliki o nazwach tr_advanced.js i tr_simple.js. Zawierają kod śledzenia i można bezpiecznie powiedzieć, że jeśli widzisz te pliki w dowolnym rozszerzeniu, jesteś szpiegowany lub zostaniesz szpiegowany w pewnym momencie. Niektóre rozszerzenia zawierają oczywiście inny kod śledzenia, więc samo rozszerzenie, którego nie ma, nie ma znaczenia. Oszuści wydają się być podstępni.
(Zauważ, że opakowaliśmy kod źródłowy tak, aby zmieścił się w oknie)Prawdopodobnie zauważysz, że adres URL po prawej stronie nie jest taki sam, jak ten wcześniejszy. Rzeczywisty kod źródłowy śledzenia jest dość skomplikowany i wydaje się, że każde rozszerzenie ma inny link monitorujący.
Zapobieganie automatycznemu aktualizowaniu rozszerzenia (zaawansowane)
Jeśli masz rozszerzenie, które znasz i którym ufasz, a już zweryfikowaliśmy, że nie zawiera ono niczego złego, możesz się upewnić, że rozszerzenie nigdy nie potajemnie aktualizuje o spyware - ale jest to naprawdę ręczne i prawdopodobnie nie to, będziesz chciał zrobić.
Jeśli nadal chcesz to zrobić, otwórz panel Rozszerzenia, znajdź identyfikator rozszerzenia, a następnie przejdź do% localappdata% \ google \ chrome \ Dane użytkownika \ default \ Rozszerzenia i znajdź folder zawierający Twoje rozszerzenie. Zmień wiersz update_url w pliku manifest.json, aby zastąpić clients2.google.com przez localhost. Uwaga: nie mogliśmy tego przetestować z faktycznym rozszerzeniem, ale powinno działać.
W przypadku Firefoksa proces jest o wiele łatwiejszy. Przejdź do ekranu dodatków, kliknij ikonę menu i odznacz opcję "Aktualizuj dodatki automatycznie".
Więc gdzie to nas zostawia?
Ustaliliśmy już, że wiele rozszerzeń jest aktualizowanych, aby uwzględnić kod śledzenia / szpiegowania, reklamy wstrzykiwania i kto wie, co jeszcze. Są sprzedawane nierzetelnym firmom, albo deweloperzy są kupowani z obietnicą łatwych pieniędzy.
Po zainstalowaniu dodatków nie można dowiedzieć się, że nie będą one zawierać oprogramowania szpiegującego. Wszystko, co wiemy, to to, że istnieje wiele dodatków i rozszerzeń, które robią te rzeczy.
Ludzie pytali nas o listę, a ponieważ badaliśmy, znaleźliśmy wiele rozszerzeń robiących te rzeczy, nie jesteśmy pewni, czy uda nam się stworzyć kompletną listę wszystkich. Dodamy ich listę do tematu forum powiązanego z tym artykułem, dzięki czemu możemy pomóc naszej społeczności w wygenerowaniu większej listy.
Zobacz pełną listę lub Prześlij nam swoją opinię