Internettet eksploderede fredag med nyheden om, at Google Chrome-udvidelser sælges og injiceres med adware . Men den mindre kendte og meget vigtigere kendsgerning er, at dine udvidelser spionerer på dig og sælger din browserhistorik til skyggefulde virksomheder. HTG undersøger.
TL; DR version:
- Browser-tilføjelsesprogrammer til Chrome, Firefox og sandsynligvis andre browsere sporer hver eneste side, du besøger, og sender dataene tilbage til et tredjepartsfirma, der betaler dem for dine oplysninger.
- Nogle af disse tilføjelser injicerer også annoncer på de sider, du besøger, og Google tillader specifikt dette af en eller anden grund, så længe det er “klart afsløret”.
- Millioner af mennesker spores på denne måde, og de har ikke en anelse.
Kalder vi det officielt spyware? Nå ... det er ikke helt så simpelt. Wikipedia definerer spyware som “Software, der hjælper med at indsamle oplysninger om en person eller organisation uden deres viden, og som kan sende sådanne oplysninger til en anden enhed uden forbrugerens samtykke”. Det betyder ikke, at al software, der indsamler data, nødvendigvis er spyware, og det betyder ikke, at al software, der sender data tilbage til deres servere, nødvendigvis er spyware.
Men når udvikleren af en udvidelse går ud af deres måde at skjule det faktum, at hver eneste side, du besøger, lagres og sendes til et selskab, der betaler dem for disse data, mens de begraves i indstillingerne som "anonym brugsstatistik", der er i det mindste et problem. Enhver rimelig bruger antager, at hvis en udvikler ønsker at spore brugsstatistikker, vil de kun spore brugen af selve udvidelsen - men det modsatte er sandt. De fleste af disse udvidelser sporer alt andet, du gør undtagen ved hjælp af udvidelsen. De sporer bare du.
Dette bliver endnu mere problematisk, fordi de kalder det ” anonym brugsstatistik ”; ordet “anonym” indebærer, at det ville være umuligt at finde ud af, hvem disse data tilhører, som om de skrubber dataene rene for alle dine oplysninger. Men det er de ikke. Ja, helt sikkert, de bruger et anonymt token til at repræsentere dig i stedet for dit fulde navn eller din e-mail, men hver eneste side, du besøger, er bundet til det token. Så længe du har den udvidelse installeret.
Spor nogens browsinghistorik længe nok, og du kan finde ud af nøjagtigt, hvem de er.
Hvor mange gange har du åbnet din egen Facebook-profilside eller din Pinterest, Google+ eller anden side? Har du nogensinde bemærket, hvordan URL'en indeholder dit navn eller noget, der identificerer dig? Selvom du aldrig har besøgt nogen af disse websteder, er det muligt at finde ud af, hvem du er.
Jeg ved ikke om dig, men min browserhistorik er mine, og ingen skulle have adgang til det bortset fra mig. Der er en grund til, at computere har adgangskoder, og alle, der er ældre end 5 år, ved om at slette deres browserhistorik. Det, du besøger på Internettet, er meget personligt, og ingen skal have listen over sider, jeg besøger, undtagen mig, selvom mit navn ikke specifikt er knyttet til listen.
Jeg er ikke advokat, men i Googles udviklingsprogrampolitikker for Chrome-udvidelser står det specifikt, at en udvidelsesudvikler ikke skal have lov til at offentliggøre nogen af mine personlige oplysninger:
Vi tillader ikke uautoriseret offentliggørelse af folks private og fortrolige oplysninger, såsom kreditkortnumre, statslige identifikationsnumre, kørekort og andre licensnumre eller andre oplysninger, der ikke er offentligt tilgængelige.
Præcis hvordan er min browserhistorik ikke personlige oplysninger? Det er bestemt ikke offentligt tilgængeligt!
Ja, mange af disse udvidelser indsætter også annoncer
Problemet forstærkes af et stort antal udvidelser, der injicerer annoncer på mange af de sider, du besøger. Disse udvidelser lægger bare deres annoncer overalt, hvor de tilfældigt vælger at placere dem på siden, og de skal kun medtage et lille stykke tekst, der identificerer, hvor annoncen kom fra, som de fleste mennesker vil ignorere, fordi de fleste ikke engang se på annoncer.
RELATEREDE: De mange måder, websteder sporer dig online
Når du har at gøre med annoncer, der vil også være cookies involveret . (Det er værd at bemærke, at dette websted understøttes af annoncer, og annoncørerne lægger cookies på din harddisk, ligesom alle sider på internettet.) Vi synes ikke, at cookies er en kæmpe aftale, men hvis du gør det, er de ret let at håndtere .
Adware-udvidelserne er faktisk mindre af et problem, hvis du kan tro det, fordi det, de laver, er meget indlysende for brugerne af udvidelsen, som derefter kan starte et oprør om det og prøve at få udvikleren til at stoppe. Vi ønsker bestemt, at Google og Mozilla ændrer deres latterlige politikker for at forbyde denne adfærd, men vi kan ikke hjælpe dem med at få sund fornuft.
Sporing foregår derimod i hemmelighed eller er i det væsentlige hemmeligt, fordi de forsøger at skjule det, de laver i juridisk henseende i beskrivelsen af udvidelserne, og ingen ruller til bunden af readme for at finde ud af, om denne udvidelse er vil spore folk.
Denne spionage er skjult bag EULA'er og privatlivspolitikker
Disse udvidelser er "tilladt" at engagere sig i denne sporingsadfærd, fordi de "afslører" det på deres beskrivelsesside eller på et eller andet tidspunkt i deres valgpanel. For eksempel HoverZoom-udvidelse , som har en million brugere, siger følgende på deres beskrivelsesside nederst:
Hover Zoom bruger anonyme brugsstatistikker. Dette kan deaktiveres på indstillingssiden uden også at miste nogen funktioner. Ved at lade denne funktion være aktiveret, godkender brugeren indsamling, overførsel og brug af anonyme brugsdata, herunder men ikke begrænset til overførsel til tredjepart.
Hvor præcist i denne beskrivelse forklarer det, at de vil spore hver eneste side, du besøger, og sende URL'en tilbage til en tredjepart, som betaler dem for dit data? Faktisk hævder de overalt, at de er sponsoreret gennem tilknyttede links, og ignorerer fuldstændigt det faktum, at de spionerer på dig. Ja, det er rigtigt, de injicerer også annoncer overalt. Men hvad bryr du dig mere om, en annonce, der vises på en side, eller at de tager hele din browserhistorik og sender den tilbage til en anden?
De er i stand til at slippe af sted med dette, fordi de har et lille lille afkrydsningsfelt, der er begravet i deres valgpanel, der siger "Aktivér anonym brugsstatistik", og du kan deaktivere denne "funktion" - selvom det er værd at bemærke, at det er standard, der skal kontrolleres.
Denne særlige udvidelse har haft en lang historie med dårlig opførsel og går ganske lang tid tilbage. Udvikleren er for nylig blevet fanget indsamling af browserdata inklusive formulardata ... men han blev også fanget sidste år sælge data om, hvad du skrev til et andet firma. De har tilføjet en fortrolighedspolitik nu, der forklarer nærmere, hvad der foregår, men hvis du skal læse en fortrolighedspolitik for at finde ud af, at du bliver udspioneret, har du et andet problem.
For at opsummere bliver en million mennesker udspioneret af denne ene udvidelse alene. Og det er bare en af disse udvidelser - der er meget mere, der gør det samme.
Udvidelser kan skifte hænder eller opdatere uden din viden
Der er absolut ingen måde at vide, hvornår en udvidelse er blevet opdateret til at omfatte spyware, og da mange typer udvidelser har brug for masser af tilladelser til endda at fungere korrekt i første omgang, før de bliver til annonceindsprøjtende stykker spycraft, så du vandt bliver ikke bedt om, når den nye version kommer ud.
For at gøre tingene værre, mange af disse udvidelser har skiftet hænder i løbet af det sidste år - og enhver, der nogensinde har skrevet en udvidelse, bliver oversvømmet med anmodninger om at sælge deres udvidelse til skyggefulde personer, som derefter inficere dig med annoncer eller spionere på dig . Da udvidelserne ikke kræver nye tilladelser, har du aldrig mulighed for at finde ud af, hvilke der tilføjede hemmelig sporing uden din viden.
I fremtiden skal du selvfølgelig enten undgå at installere udvidelser eller tilføjelser helt eller være meget pas på, hvilke du installerer. Hvis de beder om tilladelser til alt på din computer, skal du klikke på Annuller-knappen og køre.
Skjult sporingskode med en fjernbetjeningskontakt
Der er andre udvidelser, faktisk et ton af dem, der har komplet sporingskode indbygget lige ind - men den kode er i øjeblikket deaktiveret. Disse udvidelser ping tilbage til serveren hver 7. dag for at opdatere deres konfiguration. Disse er konfigureret til at sende endnu flere data tilbage - de beregner nøjagtigt, hvor længe du har hver fane åben, og hvor lang tid du bruger på hvert websted.
Vi testede en af disse udvidelser, kaldet Autocopy Original, ved at narre den til at tro, at sporingsadfærden skulle være aktiveret, og vi kunne straks se et ton data sendt tilbage til deres servere. Der var 73 af disse udvidelser i Chrome Store, og nogle i Firefox-tilføjelsesbutikken. De kan let identificeres, fordi de alle er fra “wips.com” eller “wips.com-partnere”.
Spekulerer på, hvorfor vi er bekymrede for sporingskode, der ikke engang er aktiveret endnu? Fordi deres beskrivelsesside ikke siger et ord om sporingskoden - den er begravet som et afkrydsningsfelt på hver af deres udvidelser. Så folk installerer udvidelserne forudsat at de kommer fra et kvalitetsfirma.
Og det er kun et spørgsmål om tid, før sporingskoden er aktiveret.
Undersøgelse af denne spionforlængelsesforfærdelighed
Den gennemsnitlige person vil ikke engang vide, at denne spionage foregår - de vil ikke se en anmodning til en server, de har ikke engang en måde at fortælle, at det sker. Langt størstedelen af disse millioner brugere vil ikke blive påvirket på nogen måde ... bortset fra at deres personlige data blev stjålet under dem. Så hvordan finder du ud af det selv? Det hedder Violinist .
Fiddler er et web-fejlfindingsværktøj, der fungerer som en proxy og cacher alle anmodningerne, så du kan se, hvad der foregår. Dette er det værktøj, vi brugte - hvis du vil duplikere derhjemme, skal du bare installere en af disse spionageudvidelser som Hover Zoom, og du vil begynde at se to anmodninger til websteder, der ligner t.searchelper.com og api28.webovernet.com for hver enkelt side, du ser. Hvis du tjekker Inspektor-tagget, ser du en masse base64-kodet tekst ... faktisk er den blevet base64-kodet to gange af en eller anden grund. (Hvis du vil have den fulde eksempeltekst inden afkodning, lagde vi den i en tekstfil her).
Når du har afkodet teksten, kan du se nøjagtigt, hvad der foregår. De sender den aktuelle side, du besøger sammen med den forrige side, tilbage og et unikt ID til at identificere dig og nogle andre oplysninger. Den meget skræmmende ting ved dette eksempel er, at jeg var på min bankside på det tidspunkt, som er SSL-krypteret ved hjælp af HTTPS. Det er rigtigt, disse udvidelser sporer dig stadig på websteder, der skal krypteres.
s = 1809 & md = 21 & pid = mi8PjvHcZYtjxAJ & sess = 23112540366128090 & sub = krom
& q = https% 3A // secure.bankofamerica.com / login /sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Du kan slippe api28.webovernet.com og det andet websted i din browser for at se, hvor de fører, men vi sparer dig spændingen: de er faktisk omdirigeringer til API for et firma kaldet Similar Web, som er en af mange virksomheder gør denne form for sporing og sælger dataene, så andre virksomheder kan spionere på, hvad deres konkurrenter laver.
Hvis du er den eventyrlystne type, kan du nemt finde den samme sporingskode ved at åbne din chrome: // udvidelsesside og klikke på udviklertilstanden og derefter "Inspicere visninger: html / baggrund.html" eller den lignende tekst, som fortæller dig at inspicere udvidelsen. Dette giver dig mulighed for at se, hvad denne udvidelse kører hele tiden i baggrunden.
Når du har klikket for at inspicere, vil du straks se en liste over kildefiler og alle mulige andre ting, der sandsynligvis vil være græske for dig. De vigtige ting i dette tilfælde er de to filer med navnet tr_advanced.js og tr_simple.js. Disse indeholder sporingskoden, og det er sikkert at sige, at hvis du ser disse filer inde i en hvilken som helst udvidelse, bliver du spioneret på eller bliver spioneret på et eller andet tidspunkt. Nogle udvidelser indeholder naturligvis forskellige sporingskoder, så bare fordi din udvidelse ikke har dem, betyder det ikke noget. Svindlere har tendens til at være vanskelige.
Du bemærker sandsynligvis, at webadressen på højre side ikke er helt den samme som den tidligere. Den faktiske sporingskildekode er ret kompliceret, og det ser ud til, at hver udvidelse har en anden sporings-URL.
Forhindre, at en udvidelse opdateres automatisk (avanceret)
Hvis du har en udvidelse, som du kender og stoler på, og du allerede har bekræftet, at den ikke indeholder noget dårligt, kan du sørge for, at udvidelsen aldrig hemmeligt opdateres om dig med spyware - men det er virkelig manuelt og sandsynligvis ikke hvad du vil gøre.
Hvis du stadig vil gøre det, skal du åbne panelet Udvidelser, finde udvidelsens id og derefter gå til% localappdata% \ google \ chrome \ Brugerdata \ standard \ Udvidelser og finde den mappe, der indeholder din udvidelse. Skift update_url-linjen i manifest.json for at erstatte clients2.google.com med localhost. Bemærk: vi har ikke været i stand til at teste dette med en egentlig udvidelse endnu, men det skal fungere.
For Firefox er processen meget lettere. Gå til skærmbilledet Tilføjelser, klik på menuikonet, og fjern markeringen af "Opdater tilføjelsesprogrammer automatisk".
Så hvor efterlader dette os?
Vi har allerede konstateret, at masser af udvidelser opdateres til at omfatte sporing / spioneringskode, indsprøjtning af annoncer, og hvem ved hvad mere. De sælges til upålidelige virksomheder, eller udviklerne købes med et løfte om nemme penge.
Når du først har installeret et tilføjelsesprogram, er der ingen måde at vide, at de ikke inkluderer spyware. Alt vi ved er, at der er mange tilføjelser og udvidelser, der gør disse ting.
Folk har bedt os om en liste, og som vi har undersøgt, har vi fundet så mange udvidelser, der gør disse ting, vi er ikke sikre på, at vi kan lave en komplet liste over dem alle. Vi tilføjer en liste over dem til forumemnet, der er knyttet til denne artikel, så vi kan få samfundet til at hjælpe os med at generere en større liste.
Se den fulde liste, eller giv os din feedback
