אזהרה: הרחבות הדפדפן שלך מרגלות אחריך

תוכן ללא הכנסה

האינטרנט התפוצץ ביום שישי עם הידיעה ש תוספים ל- Google Chrome נמכרים ומוזרקים להם תוכנות פרסום . אבל העובדה המוכרת והחשובה הרבה יותר היא שההרחבות שלך מרגלים אחריך ומוכרים את היסטוריית הגלישה שלך לתאגידים מוצלים. HTG חוקרת.

גרסת TL; DR:

• תוספות דפדפן עבור Chrome, Firefox וכנראה לדפדפנים אחרים עוקבות אחר כל דף שאתה מבקר ושולחות את הנתונים בחזרה לחברת צד שלישי שמשלמת להם עבור המידע שלך.
• חלק מהתוספות הללו גם מזריקות מודעות לדפים שאתה מבקר בהם, וגם גוגל מאפשרת זאת באופן ספציפי משום מה כל עוד הוא "נחשף בבירור".
• מיליונים אנשים עוקבים אחר כך ואין להם מושג.

האם אנחנו קוראים לזה באופן רשמי תוכנות ריגול? ובכן ... זה לא כל כך פשוט. ויקיפדיה מגדירה תוכנות ריגול כפי ש "תוכנה המסייעת באיסוף מידע על אדם או ארגון ללא ידיעתם ​​ועשויה לשלוח מידע כזה לגורם אחר ללא הסכמת הצרכן". זה לא אומר שכל התוכנות שאוספות נתונים הן בהכרח תוכנות ריגול, וזה לא אומר שכל התוכנות ששולחות נתונים חזרה לשרתים שלהן הן בהכרח תוכנות ריגול.

אך כאשר מפתח הרחבה יוצא מגדרם כדי להסתיר את העובדה שכל עמוד בודד בו אתה מבקר נשמר ונשלח לתאגיד שמשלם להם עבור הנתונים הללו תוך קבורתם בהגדרות כ"סטטיסטיקות שימוש אנונימיות ", שם זו בעיה, לפחות. כל משתמש סביר היה מניח שאם מפתח ירצה לעקוב אחר סטטיסטיקות שימוש, הוא רק יעקוב אחר השימוש בתוסף עצמו - אך ההפך הוא הנכון. רוב התוספים האלה עוקבים אחר כל מה שאתה עושה מלבד באמצעות התוסף. הם פשוט עוקבים אתה.

זה נהיה בעייתי עוד יותר מכיוון שהם קוראים לזה " בעילום שם סטטיסטיקות שימוש ”; המילה "אנונימית" מרמזת כי יהיה בלתי אפשרי להבין למי שייכים הנתונים האלה, כאילו הם מקרצפים את הנתונים מכל הנתונים שלך. אבל הם לא. כן, בטח, הם משתמשים באסימון אנונימי כדי לייצג אותך ולא את שמך המלא או דוא"ל שלך, אבל כל עמוד בודד שאתה מבקר קשור לאסימון זה. כל עוד התקנת התוסף הזה.

עקוב אחר היסטוריית הגלישה של מישהו מספיק זמן, ותוכל להבין בדיוק מי הם.

כמה פעמים פתחתם דף פרופיל פייסבוק משלכם, או עמוד Pinterest, Google+ או דף אחר? האם שמת לב אי פעם כיצד כתובת האתר מכילה את שמך או משהו שמזהה אותך? גם אם מעולם לא ביקרת באף אחד מאותם אתרים, ניתן להבין מי אתה אפשרי.

אני לא יודע מה איתך, אבל היסטוריית הגלישה שלי היא שלי, ואף אחד לא צריך לקבל גישה לזה חוץ ממני. יש סיבה לכך שלמחשבים יש סיסמאות וכל אחד מעל גיל 5 יודע על מחיקת היסטוריית הדפדפן שלהם. מה שאתה מבקר באינטרנט הוא מאוד אישי, ואף אחד לא צריך להכיל את רשימת העמודים שאליהם אני מבקר מלבד אני, גם אם שמי אינו משויך במיוחד לרשימה.

אני לא עורך דין, אך תקנון התוכנית למפתחים של גוגל לתוספות Chrome אומר במפורש כי אסור לאפשר למפתח תוספות לפרסם את כל המידע האישי שלי:

איננו מאפשרים פרסום בלתי מורשה של מידע פרטי וסודי של אנשים, כגון מספרי כרטיסי אשראי, מספרי זיהוי ממשלתיים, מספרי נהיגה ואחרים, או כל מידע אחר שאינו נגיש לציבור.

איך בדיוק היסטוריית הגלישה שלי אינה מידע אישי? זה בהחלט לא נגיש לציבור!

כן, רבים מהתוספים האלה מכניסים מודעות גם

הבעיה מורכבת ממספר רב של הרחבות שמזריקות מודעות לרבים מהדפים שאתה מבקר בהם. תוספים אלה רק מכניסים את המודעות שלהם לכל מקום בו הם בוחרים באופן אקראי להכניס אותם לדף, והם נדרשים לכלול רק פיסת טקסט זעירה המזהה מהיכן הגיעה המודעה, שרוב האנשים יתעלמו ממנה, מכיוון שרוב האנשים אפילו לא להסתכל על מודעות.

קָשׁוּר: דרכים רבות אתרי האינטרנט עוקבים אחריך באינטרנט

בכל פעם שאתה מתמודד עם מודעות, שם הולכים להיות מעורבים בעוגיות . (ראוי לציין שהאתר הזה נתמך על ידי מודעות, והמפרסמים שמים קובצי Cookie על הכונן הקשיח שלך, בדיוק כמו כל אתר באינטרנט.) אנחנו לא חושבים שקובצי Cookie הם עניין ענק, אבל אם כן, הם כן די קל להתמודד איתו .

הרחבות של תוכנות הפרסום הן למעשה פחות בעיה, אם אתה מאמין בכך, כי מה שהם עושים ברור מאוד למשתמשי ההרחבה, אשר לאחר מכן יכולים להתחיל סערה בנושא ולנסות לגרום למפתח לעצור. אנו בהחלט מאחלים שגוגל ומוזילה ישנו את המדיניות המגוחכת שלהם כדי לאסור התנהגות זו, אך איננו יכולים לעזור להם להשיג שכל ישר.

מעקב, לעומת זאת, נעשה בסתר, או שהוא בעצם סודי מכיוון שהם מנסים להסתיר את מה שהם עושים בחוקיות בתיאור התוספים, ואף אחד לא גולל לתחתית הקריאה כדי להבין אם סיומת זו היא הולכים לעקוב אחר אנשים.

ריגול זה מסתתר מאחורי הסכם זכויות יוצרים ומדיניות פרטיות

לתוספים אלה "מותר" לעסוק בהתנהגות מעקב זו מכיוון שהם "חושפים" אותה בדף התיאור שלהם, או בשלב כלשהו בחלונית האפשרויות שלהם. למשל, סיומת HoverZoom , שמונה מיליון משתמשים, אומר את הדברים הבאים בעמוד התיאור שלהם, למטה:

רחף זום משתמש בסטטיסטיקות שימוש אנונימיות. ניתן להשבית את זה בדף האפשרויות מבלי לאבד אף תכונה. על ידי השארת תכונה זו מופעלת, המשתמש מאשר איסוף, העברה ושימוש בנתוני שימוש אנונימיים, כולל אך לא מוגבל להעברה לצדדים שלישיים.

היכן בדיוק בתיאור זה הוא מסביר שהם הולכים לעקוב אחר כל עמוד בודד שאתה מבקר בו ולשלוח את כתובת האתר בחזרה לצד שלישי, שמשלם להם עבור שֶׁלְךָ נתונים? למעשה, הם טוענים בכל מקום שהם ממומנים באמצעות קישורי שותפים, ומתעלמים לחלוטין מהעובדה שהם מרגלים אחריכם. כן, זה נכון, הם גם מזריקים מודעות בכל מקום. אבל לאיזה מעניין אותך יותר, מודעה שמופיעה בדף, או שהיא לוקחת את כל היסטוריית הגלישה שלך ושולחת אותה בחזרה למישהו אחר?

הם מסוגלים לחמוק מכך מכיוון שיש להם תיבת סימון קטנה זעירה קבורה בחלונית האפשרויות שלהם שאומרת "אפשר סטטיסטיקות שימוש אנונימיות", ואתה יכול להשבית את ה"תכונה "הזו - אם כי ראוי לציין שהיא כברירת מחדל להיבדק.

לתוסף המסוים הזה יש היסטוריה ארוכה של התנהגות רעה, שחוזרת לא מעט זמן. היזם נתפס לאחרונה איסוף נתוני גלישה לְרַבּוֹת טופס מידע ... אבל הוא נתפס גם בשנה שעברה מכירת נתונים על מה שהקלדת לחברה אחרת. הם הוסיפו כעת מדיניות פרטיות שמסבירה לעומק יותר מה קורה, אבל אם אתה צריך לקרוא מדיניות פרטיות כדי להבין שמרגלים אחריך, יש לך בעיה נוספת.

לסיכום, מיליון איש נוהגים רק על ידי הרחבה זו בלבד. וזה פשוט אחד מההרחבות האלה - יש הרבה יותר שעושים את אותו הדבר.

הרחבות יכולות להחליף ידיים או לעדכן ללא ידיעתך

אין שום דרך לדעת מתי עודכנה סיומת הכוללת תוכנות ריגול, ומכיוון שסוגים רבים של סיומות זקוקים להמון הרשאות כדי בכלל לפעול כראוי מלכתחילה לפני שהם הופכים לחתיכות חללית המזריקות מודעות, אז זכית לא תתבקש כאשר הגרסה החדשה תצא.

כדי להחמיר את המצב, רבים מהרחבות אלה החליפו ידיים בשנה האחרונה - וכל מי שכתב אי פעם הרחבה מוצף בבקשות למכור את הסיומת שלהם לאנשים מוצלים, שאז להדביק אותך במודעות או לרגל אחריך . מכיוון שהתוספים אינם דורשים הרשאות חדשות, לעולם לא תהיה לך אפשרות להבין אילו מהן הוסיפו מעקב סודי ללא ידיעתך.

בעתיד, כמובן, כדאי להימנע מהתקנת הרחבות או תוספות לחלוטין, או להיות מאוד זהיר לגבי אלה שאתה מתקין. אם הם מבקשים הרשאות לכל דבר במחשב שלך, עליך ללחוץ על כפתור ביטול ולהפעיל.

קוד מעקב מוסתר עם מתג הפעלה מרחוק

ישנן הרחבות אחרות, למעשה, המון מהן, שיש להן קוד מעקב מלא המובנה ממש - אך קוד זה מושבת כרגע. הרחבות אלה חוזרות לשרת כל 7 ימים כדי לעדכן את תצורתן. אלה מוגדרים לשלוח נתונים רבים עוד יותר בחזרה - הם מחשבים בדיוק כמה זמן יש לך כל כרטיסייה פתוחה, וכמה זמן אתה מבלה בכל אתר.

בדקנו אחת מההרחבות הללו, המכונה Autocopy Original, על ידי הטעיה לחשוב שהתנהגות המעקב אמורה להיות מופעלת, והצלחנו לראות מיד טונות של נתונים שנשלחו בחזרה לשרתים שלהם. היו 73 הרחבות אלה בחנות Chrome, וחלקן בחנות התוספות של Firefox. ניתן לזהות אותם בקלות מכיוון שכולם הם מ- "wips.com" או "wips.com partners".

תוהה מדוע אנו מודאגים מקוד מעקב שעדיין אינו מופעל? מכיוון שדף התיאור שלהם לא אומר מילה על קוד המעקב - הוא קבור כתיבת סימון בכל אחת מהסיומות שלהם. אז אנשים מתקינים את התוספים בהנחה שהם מחברה איכותית.

וזה רק עניין של זמן עד שמופעל קוד מעקב.

חוקר את נורא הרחבת הריגול הזה

האדם הממוצע לא מתכוון בכלל לדעת שהריגול הזה מתרחש - הם לא יראו בקשה לשרת, אפילו לא תהיה להם דרך לומר שזה קורה. הרוב המכריע של מיליון המשתמשים הללו לא יושפעו בשום צורה שהיא ... אלא שהנתונים האישיים שלהם נגנבו תחתיהם. אז איך תבינו זאת בעצמכם? זה נקרא כַּנָר .

כנר הוא כלי ניפוי באגים באינטרנט שמשמש כ- proxy ושומר במטמון את כל הבקשות כדי שתוכלו לראות מה קורה. זה הכלי בו השתמשנו - אם ברצונך לשכפל בבית, פשוט התקן אחת מהרחבות ריגול אלה כמו זום רחף, ותתחיל לראות שתי בקשות לאתרים הדומים ל- t.searchelper.com ו- api28.webovernet.com לכל עמוד בודד שאתה מציג. אם תבדוק בתג הפקחים תראה חבורה של טקסט מקודד base64 ... למעשה, קודן base64 מקודד פעמיים משום מה. (אם אתה רוצה את הטקסט המלא לדוגמא לפני הפענוח, שמנו אותו בקובץ טקסט כאן).

לאחר שתפענח את הטקסט בהצלחה, תראה בדיוק מה קורה. הם מחזירים את העמוד הנוכחי אליו אתה מבקר יחד עם העמוד הקודם ותעודת זהות ייחודית לזיהויך ומידע אחר. הדבר המפחיד מאוד בדוגמה זו הוא שהייתי באותו זמן בנקאי שלי, שמוצפן SSL באמצעות HTTPS. זה נכון, הרחבות אלה עדיין עוקבות אחריך באתרים שצריכים להיות מוצפנים.

s = 1809 & md = 21 & pid = mi8PjvHcZYtjxAJ & sess = 23112540366128090 & sub = כרום
& q = https% 3A // secure.bankofamerica.com / כניסה /sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go

אתה יכול להוריד את api28.webovernet.com ואת האתר האחר לדפדפן שלך כדי לראות לאן הם מובילים, אבל אנחנו נחסוך לך את המתח: הם למעשה הפניות מחדש עבור ה- API של חברה בשם Similar Web, שהיא אחת מחברות רבות. מבצעים מעקב מסוג זה ומכירת הנתונים כדי שחברות אחרות יוכלו לרגל אחר מה שהמתחרים שלהם עושים.

אם אתה מהסוג ההרפתקני, אתה יכול למצוא אותו קוד מעקב בקלות על ידי פתיחת דף Chrome שלך: // הרחבות ולחיצה על מצב מפתח ואז "בדוק תצוגות: html / background.html" או הטקסט הדומה אומר לך לבדוק את הרחבה. זה יאפשר לך לראות מה ההרחבה פועלת כל הזמן ברקע.

לאחר שתלחץ לבדיקה, תראה מיד רשימה של קבצי מקור וכל מיני דברים אחרים שכנראה יהיו יוונים עבורך. הדברים החשובים במקרה זה הם שני הקבצים בשם tr_advanced.js ו- tr_simple.js. אלה מכילים את קוד המעקב, ובטוח לומר שאם אתה רואה את הקבצים האלה בתוך סיומת כלשהי, מרגלים אחריך או יתמרו אחריך בשלב מסוים. חלק מההרחבות מכילות קוד מעקב אחר, כמובן, ולכן רק בגלל שהסיומת שלך אין להן, זה לא אומר כלום. הרמאים נוטים להיות מסובכים.

סביר להניח שתבחין שכתובת האתר בצד ימין אינה לגמרי זהה לזו הקודמת. קוד המקור למעקב בפועל מסובך למדי ונראה שלכל הרחבה יש כתובת אתר אחרת למעקב.

מניעת עדכון אוטומטי של הרחבה באופן אוטומטי (מתקדם)

אם יש לך סיומת שאתה מכיר וסומך עליה וכבר אימתת שהיא לא מכילה שום דבר רע, אתה יכול לוודא שהסיומת לעולם לא תעדכן אותך בסתר באמצעות תוכנות ריגול - אבל היא ממש ידנית וכנראה לא מה אתה רוצה לעשות.

אם אתה עדיין רוצה לעשות זאת, פתח את חלונית ההרחבות, מצא את מזהה התוסף, ואז עבור אל% localappdata% \ google \ chrome \ User Data \ default \ Extensions ומצא את התיקיה שמכילה את התוסף שלך. שנה את שורת update_url במניפסט.json כדי להחליף את clients2.google.com ב- localhost. הערה: עדיין לא הצלחנו לבדוק זאת עם סיומת בפועל, אבל זה אמור לעבוד.

עבור Firefox התהליך הרבה יותר קל. עבור למסך התוספות, לחץ על סמל התפריט ובטל את הסימון של "עדכן תוספות באופן אוטומטי".

אז איפה זה משאיר אותנו?

כבר קבענו כי המון תוספים מתעדכנים כך שיכללו קוד מעקב / ריגול, הזרקת מודעות ומי יודע מה עוד. הם נמכרים לחברות לא אמינות, או שהיזמים נקנים בהבטחה של כסף קל.

ברגע שהתקנתם תוסף, אין שום דרך לדעת שהם לא הולכים לכלול תוכנות ריגול בהמשך הדרך. כל מה שאנחנו יודעים זה שיש הרבה תוספות והרחבות שעושות את הדברים האלה.

אנשים ביקשו מאיתנו רשימה, וכפי שחקרנו, מצאנו כל כך הרבה הרחבות שעושות את הדברים האלה, אנחנו לא בטוחים שנוכל להכין רשימה מלאה של כולם. נוסיף רשימה שלהם לנושא הפורום המשויך למאמר זה, כדי שנוכל לקהילה לעזור לנו ליצור רשימה גדולה יותר.

צפה ברשימה המלאה או תן לנו משוב