Internet explotó el viernes con la noticia de que Las extensiones de Google Chrome se venden y se inyectan con adware . Pero el hecho poco conocido y mucho más importante es que tus extensiones te están espiando y vendiendo tu historial de navegación a corporaciones sospechosas. HTG investiga.
TL; Versión DR:
- Los complementos del navegador para Chrome, Firefox y probablemente otros navegadores rastrean cada página que visita y envían esos datos a una empresa externa que les paga por su información.
- Algunos de estos complementos también inyectan anuncios en las páginas que visita, y Google permite específicamente esto por alguna razón, siempre y cuando esté “claramente divulgado”.
- Millones de las personas están siendo rastreadas de esta manera y no tienen ni idea.
¿Lo llamamos oficialmente software espía? Bueno ... no es tan simple. Wikipedia define software espía como "Software que ayuda a recopilar información sobre una persona u organización sin su conocimiento y que puede enviar dicha información a otra entidad sin el consentimiento del consumidor". Eso no significa que todo el software que recopila datos sea necesariamente software espía, y no significa que todo el software que envía datos a sus servidores sea necesariamente software espía.
Pero cuando el desarrollador de una extensión hace todo lo posible para ocultar el hecho de que cada página que visita se almacena y envía a una corporación que le paga por esos datos mientras los guarda en la configuración como "estadísticas de uso anónimas", es un problema, al menos. Cualquier usuario razonable asumiría que si un desarrollador desea realizar un seguimiento de las estadísticas de uso, solo hará un seguimiento del uso de la extensión en sí, pero ocurre lo contrario. La mayoría de estas extensiones hacen un seguimiento de todo lo que haces. excepto usando la extensión. Solo están rastreando tú.
Esto se vuelve aún más problemático porque lo llaman " anónimo estadísticas de uso"; la palabra "anónimo" implica que sería imposible averiguar a quién pertenecen esos datos, como si estuvieran limpiando los datos de toda su información. Pero no lo son. Sí, claro, están usando un token anónimo para representarlo en lugar de su nombre completo o correo electrónico, pero cada página que visita está vinculada a ese token. Mientras tenga instalada esa extensión.
Realice un seguimiento del historial de navegación de cualquier persona durante el tiempo suficiente y podrá averiguar exactamente quiénes son.
¿Cuántas veces ha abierto su propia página de perfil de Facebook o su página de Pinterest, Google+ u otra? ¿Alguna vez has notado cómo la URL contiene tu nombre o algo que te identifica? Incluso si nunca visitó ninguno de esos sitios, es posible averiguar quién es usted.
No sé ustedes, pero mi historial de navegación es mía, y nadie debería tener acceso a eso excepto yo. Hay una razón por la que las computadoras tienen contraseñas y todos los mayores de 5 años saben cómo eliminar el historial de su navegador. Lo que visitas en Internet es muy personal, y nadie debería tener la lista de páginas que visito excepto yo, incluso si mi nombre no está asociado específicamente con la lista.
No soy abogado, pero las Políticas del programa para desarrolladores de Google para las extensiones de Chrome establecen específicamente que un desarrollador de extensiones no debe poder publicar mi información personal:
No permitimos la publicación no autorizada de información privada y confidencial de las personas, como números de tarjetas de crédito, números de identificación del gobierno, números de licencia de conducir y de otro tipo, o cualquier otra información que no sea de acceso público.
¿Exactamente cómo mi historial de navegación no es información personal? ¡Definitivamente no es de acceso público!
Sí, muchas de estas extensiones también insertan anuncios
El problema se ve agravado por una gran cantidad de extensiones que inyectan anuncios en muchas de las páginas que visita. Estas extensiones simplemente colocan sus anuncios donde eligen al azar para colocarlos en la página, y solo se requiere que incluyan un pequeño fragmento de texto que identifique de dónde provino el anuncio, que la mayoría de la gente ignorará, porque la mayoría de la gente ni siquiera mira los anuncios.
RELACIONADO: Las muchas formas en que los sitios web te siguen en línea
Siempre que se trate de anuncios, también van a haber cookies involucradas . (Vale la pena señalar que este sitio cuenta con publicidad y los anunciantes colocan cookies en su disco duro, al igual que todos los sitios de Internet). No creemos que las cookies sean un gran problema, pero si lo hace, lo son bastante fácil de tratar .
Las extensiones de adware son en realidad un problema menor, si puedes creerlo, porque lo que están haciendo es muy obvio para los usuarios de la extensión, quienes luego pueden comenzar un alboroto al respecto e intentar que el desarrollador se detenga. Definitivamente deseamos que Google y Mozilla cambien sus ridículas políticas para prohibir ese comportamiento, pero no podemos ayudarlos a adquirir sentido común.
El seguimiento, por otro lado, se realiza en secreto, o es esencialmente secreto porque intentan ocultar lo que están haciendo en jerga legal en la descripción de las extensiones, y nadie se desplaza hasta la parte inferior del archivo Léame para averiguar si esa extensión es yendo a rastrear personas.
Este espionaje está oculto detrás de los EULA y las políticas de privacidad
Estas extensiones están "permitidas" para participar en este comportamiento de seguimiento porque lo "divulgan" en su página de descripción, o en algún momento en su panel de opciones. Por ejemplo, el Extensión HoverZoom , que tiene un millón de usuarios, dice lo siguiente en su página de descripción, en la parte inferior:
Hover Zoom utiliza estadísticas de uso anónimas. Esto se puede desactivar en la página de opciones sin perder tampoco ninguna función. Al dejar esta función habilitada, el usuario autoriza la recopilación, transferencia y uso de datos de uso anónimos, que incluyen, entre otros, la transferencia a terceros.
¿Dónde exactamente en esta descripción se explica que van a rastrear cada página que visita y enviar la URL a un tercero, que les paga por tu ¿datos? De hecho, afirman en todas partes que están patrocinados a través de enlaces de afiliados, ignorando por completo el hecho de que te están espiando. Sí, así es, también están inyectando anuncios por todas partes. Pero, ¿qué le importa más, un anuncio que aparece en una página, o que ellos tomen todo su historial de navegación y se lo envíen a otra persona?
Pueden salirse con la suya porque tienen una pequeña casilla de verificación enterrada en su panel de opciones que dice "Habilitar estadísticas de uso anónimas", y puede deshabilitar esa "función", aunque vale la pena señalar que está marcada de forma predeterminada.
Esta extensión en particular ha tenido una larga historia de mal comportamiento, desde hace bastante tiempo. El desarrollador ha sido capturado recientemente. recopilar datos de navegación incluso formulario de datos ... pero también lo atraparon el año pasado vender datos sobre lo que escribiste a otra empresa. Han agregado una política de privacidad ahora que explica en mayor profundidad lo que está sucediendo, pero si tiene que leer una política de privacidad para darse cuenta de que lo están espiando, tiene otro problema.
En resumen, solo esta extensión está espiando a un millón de personas. Y eso es solo uno de estas extensiones, hay muchas más que hacen lo mismo.
Las extensiones pueden cambiar de manos o actualizarse sin su conocimiento
No hay absolutamente ninguna forma de saber cuándo se ha actualizado una extensión para incluir software espía, y dado que muchos tipos de extensiones necesitan una tonelada de permisos para funcionar incluso correctamente en primer lugar antes de que se conviertan en piezas de espionaje que inyectan anuncios, usted ganó No se le preguntará cuando salga la nueva versión.
Para empeorar las cosas, muchas de estas extensiones han cambiado de manos durante el último año, y cualquiera que haya escrito una extensión se verá inundado de solicitudes para vender su extensión a personas sospechosas, que luego contagiarte con anuncios o espiarte . Dado que las extensiones no requieren ningún permiso nuevo, nunca tendrá la oportunidad de averiguar cuáles agregaron seguimiento secreto sin su conocimiento.
En el futuro, por supuesto, debe evitar instalar extensiones o complementos por completo, o muy tenga cuidado con los que instala. Si te piden permisos para todo lo que hay en tu computadora, debes hacer clic en el botón Cancelar y ejecutar.
Código de seguimiento oculto con un interruptor de habilitación remoto
Hay otras extensiones, de hecho, muchas de ellas, que tienen un código de seguimiento completo integrado, pero ese código está actualmente deshabilitado. Esas extensiones hacen ping al servidor cada 7 días para actualizar su configuración. Estos están configurados para enviar aún más datos: calculan exactamente cuánto tiempo tiene abierta cada pestaña y cuánto tiempo pasa en cada sitio.
Probamos una de estas extensiones, llamada Autocopy Original, engañándola para que pensara que se suponía que el comportamiento de seguimiento estaba habilitado, y pudimos ver inmediatamente una tonelada de datos enviados de vuelta a sus servidores. Había 73 de estas extensiones en Chrome Store y algunas en la tienda de complementos de Firefox. Son fácilmente identificables porque son todos de "wips.com" o "socios de wips.com".
¿Se pregunta por qué nos preocupa el código de seguimiento que aún no está habilitado? Debido a que su página de descripción no dice una palabra sobre el código de seguimiento, está enterrado como una casilla de verificación en cada una de sus extensiones. Entonces, la gente está instalando las extensiones asumiendo que son de una empresa de calidad.
Y es solo cuestión de tiempo antes de que se habilite ese código de seguimiento.
Investigando esta espantosa extensión de espionaje
La persona promedio ni siquiera sabrá nunca que se está produciendo este espionaje; no verá una solicitud a un servidor, ni siquiera tendrá una forma de saber que está sucediendo. La gran mayoría de esos millones de usuarios no se verán afectados de ninguna manera ... excepto que sus datos personales fueron robados debajo de ellos. Entonces, ¿cómo averiguas esto por ti mismo? Se llama Violinista .
Fiddler es una herramienta de depuración web que actúa como un proxy y almacena en caché todas las solicitudes para que pueda ver lo que está sucediendo. Esta es la herramienta que usamos: si desea duplicar en casa, simplemente instale una de estas extensiones de espionaje como Hover Zoom, y comenzará a ver dos solicitudes a sitios similares a t.searchelper.com y api28.webovernet.com por cada página que ve. Si marca la etiqueta Inspectores, verá un montón de texto codificado en base64 ... de hecho, ha sido codificado en base64 dos veces por alguna razón. (Si desea el texto de ejemplo completo antes de decodificarlo, lo guardamos en un archivo de texto aquí).
Una vez que haya descodificado correctamente ese texto, verá exactamente lo que está sucediendo. Están devolviendo la página actual que está visitando, junto con la página anterior, y una identificación única para identificarlo, y otra información. Lo más aterrador de este ejemplo es que estaba en mi sitio bancario en ese momento, que está cifrado con SSL mediante HTTPS. Así es, estas extensiones todavía te siguen en sitios que deberían estar encriptados.
s = 1809 y md = 21 y pid = mi8PjvHcZYtjxAJ & sess = 23112540366128090 & sub = cromo
&q= https% 3A // secure.bankofamerica.com / login /sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Puede colocar api28.webovernet.com y el otro sitio en su navegador para ver a dónde conducen, pero le ahorraremos el suspenso: en realidad son redireccionamientos para la API de una empresa llamada Similar Web, que es una de muchas empresas. hacer este tipo de seguimiento y vender los datos para que otras empresas puedan espiar lo que hacen sus competidores.
Si eres del tipo aventurero, puedes encontrar fácilmente este mismo código de seguimiento abriendo tu página de extensiones de chrome: // y haciendo clic en el modo de desarrollador, y luego en "Inspeccionar vistas: html / background.html" o el texto similar que le dice que inspeccione la extensión. Esto le permitirá ver qué extensión se está ejecutando todo el tiempo en segundo plano.
Una vez que haga clic para inspeccionar, verá inmediatamente una lista de archivos de origen y todo tipo de otras cosas que probablemente le resulten griegas. Lo importante en este caso son los dos archivos denominados tr_advanced.js y tr_simple.js. Estos contienen el código de seguimiento, y es seguro decir que si ve esos archivos dentro de cualquier extensión, lo están espiando o lo estarán espiando en algún momento. Algunas extensiones contienen códigos de seguimiento diferentes, por supuesto, por lo que el hecho de que su extensión no los tenga, no significa nada. Los estafadores tienden a ser engañosos.
Probablemente notará que la URL del lado derecho no es exactamente la misma que la anterior. El código fuente de seguimiento real es bastante complicado y parece que cada extensión tiene una URL de seguimiento diferente.
Evitar que una extensión se actualice automáticamente (avanzado)
Si tiene una extensión que conoce y en la que confía, y ya ha verificado que no contiene nada malo, puede asegurarse de que la extensión nunca se actualice secretamente con software espía, pero es realmente manual y probablemente no querrás hacer.
Si aún desea hacerlo, abra el panel Extensiones, busque el ID de la extensión, luego diríjase a% localappdata% \ google \ chrome \ User Data \ default \ Extensions y busque la carpeta que contiene su extensión. Cambie la línea update_url en manifest.json para reemplazar clients2.google.com con localhost. Nota: todavía no hemos podido probar esto con una extensión real, pero debería funcionar.
Para Firefox, el proceso es mucho más sencillo. Vaya a la pantalla Complementos, haga clic en el icono de menú y desmarque "Actualizar complementos automáticamente".
¿A dónde nos lleva esto?
Ya hemos establecido que se están actualizando un montón de extensiones para incluir código de seguimiento / espionaje, inyección de anuncios y quién sabe qué más. Se venden a empresas poco fiables o se compra a los desarrolladores con la promesa de dinero fácil.
Una vez que haya instalado un complemento, no hay forma de saber que no incluirán software espía en el futuro. Todo lo que sabemos es que hay muchos complementos y extensiones que hacen estas cosas.
La gente nos ha estado pidiendo una lista y, a medida que investigamos, hemos encontrado tantas extensiones haciendo estas cosas que no estamos seguros de poder hacer una lista completa de todas ellas. Agregaremos una lista de ellos al tema del foro asociado con este artículo, para que la comunidad nos ayude a generar una lista más grande.
Vea la lista completa o envíenos sus comentarios
