Internet è esplosa venerdì con la notizia che Le estensioni di Google Chrome vengono vendute e iniettate con adware . Ma il fatto poco noto e molto più importante è che le tue estensioni ti stanno spiando e vendono la tua cronologia di navigazione a società losche. HTG indaga.
TL; versione DR:
- I componenti aggiuntivi del browser per Chrome, Firefox e probabilmente altri browser monitorano ogni singola pagina che visiti e inviano tali dati a una società di terze parti che li paga per le tue informazioni.
- Alcuni di questi componenti aggiuntivi inseriscono anche annunci nelle pagine che visiti e Google lo consente specificamente per qualche ragione purché sia "chiaramente divulgato".
- Milioni delle persone vengono monitorate in questo modo e non hanno la più pallida idea.
Lo chiamiamo ufficialmente spyware? Beh ... non è così semplice. Wikipedia definisce spyware come "Software che aiuta a raccogliere informazioni su una persona o organizzazione a sua insaputa e che può inviare tali informazioni a un'altra entità senza il consenso del consumatore". Ciò non significa che tutto il software che raccoglie i dati sia necessariamente uno spyware e non significa che tutto il software che rimanda i dati ai propri server sia necessariamente uno spyware.
Ma quando lo sviluppatore di un'estensione fa di tutto per nascondere il fatto che ogni singola pagina che visiti viene archiviata e inviata a una società che li paga per quei dati, seppellendoli nelle impostazioni come "statistiche di utilizzo anonime", lì è un problema, almeno. Qualsiasi utente ragionevole presumerebbe che se uno sviluppatore desidera monitorare le statistiche di utilizzo, terrà traccia dell'utilizzo dell'estensione stessa, ma è vero il contrario. La maggior parte di queste estensioni tiene traccia di tutto ciò che fai tranne utilizzando l'estensione. Stanno solo monitorando voi.
Questo diventa ancora più problematico perché lo chiamano " anonimo statistiche sull'utilizzo ”; la parola "anonimo" implica che sarebbe impossibile capire a chi appartengono quei dati, come se stessero ripulendo i dati da tutte le tue informazioni. Ma non lo sono. Sì, certo, stanno usando un token anonimo per rappresentarti piuttosto che il tuo nome completo o e-mail, ma ogni singola pagina che visiti è legata a quel token. Per tutto il tempo in cui hai installato l'estensione.
Tieni traccia della cronologia di navigazione di qualcuno abbastanza a lungo e puoi capire esattamente chi sono.
Quante volte hai aperto la tua pagina del profilo Facebook o la tua pagina Pinterest, Google+ o un'altra? Hai mai notato come l'URL contiene il tuo nome o qualcosa che ti identifica? Anche se non hai mai visitato nessuno di questi siti, è possibile capire chi sei.
Non so voi, ma la mia cronologia di navigazione lo è il mio, e nessuno dovrebbe avere accesso a quello tranne me. C'è un motivo per cui i computer hanno password e chiunque abbia più di 5 anni sa come eliminare la cronologia del browser. Ciò che visiti su Internet è molto personale e nessuno dovrebbe avere l'elenco delle pagine che visito tranne me, anche se il mio nome non è specificamente associato all'elenco.
Non sono un avvocato, ma le Norme del programma per sviluppatori di Google per le estensioni di Chrome affermano specificamente che uno sviluppatore di estensioni non dovrebbe essere autorizzato a pubblicare nessuna delle mie informazioni personali:
Non consentiamo la pubblicazione non autorizzata di informazioni private e riservate delle persone, come numeri di carte di credito, numeri di identificazione governativa, numeri di patente e altri numeri di guida o qualsiasi altra informazione non accessibile pubblicamente.
In che modo esattamente la mia cronologia di navigazione non è un'informazione personale? Sicuramente non è accessibile pubblicamente!
Sì, molte di queste estensioni inseriscono anche annunci
Il problema è aggravato da un gran numero di estensioni che inseriscono annunci in molte delle pagine visitate. Queste estensioni stanno solo inserendo i loro annunci ovunque scelgano casualmente di inserirli nella pagina e sono tenuti a includere solo un piccolo pezzo di testo che identifichi l'origine dell'annuncio, che la maggior parte delle persone ignorerà, perché la maggior parte delle persone non lo fa nemmeno guarda gli annunci.
RELAZIONATO: I molti modi in cui i siti web ti tracciano online
Ogni volta che hai a che fare con gli annunci, lì saranno coinvolti anche i cookie . (Vale la pena notare che questo sito è supportato da pubblicità e gli inserzionisti inseriscono i cookie sul disco rigido, proprio come ogni sito su Internet.) Non pensiamo che i cookie siano un grosso problema, ma se lo fai, lo sono abbastanza facile da affrontare .
Le estensioni adware sono in realtà un problema minore, se puoi crederci, perché quello che stanno facendo è molto ovvio per gli utenti dell'estensione, che possono quindi scatenare un putiferio al riguardo e cercare di convincere lo sviluppatore a fermarsi. Vorremmo assolutamente che Google e Mozilla cambiassero le loro ridicole politiche per vietare quel comportamento, ma non possiamo aiutarli ad avere buon senso.
Il monitoraggio, d'altra parte, è fatto in segreto, o è essenzialmente segreto perché cercano di nascondere ciò che stanno facendo in legalese nella descrizione delle estensioni, e nessuno scorre fino in fondo al file readme per capire se quell'estensione è andando a monitorare le persone.
Questo spionaggio è nascosto dietro gli EULA e le politiche sulla privacy
Queste estensioni sono "autorizzate" a intraprendere questo comportamento di tracciamento perché lo "rivelano" nella loro pagina di descrizione o ad un certo punto nel pannello delle opzioni. Ad esempio, il file Estensione HoverZoom , che ha un milione di utenti, dice quanto segue nella loro pagina di descrizione, in fondo:
Hover Zoom utilizza statistiche di utilizzo anonime. Questo può essere disabilitato nella pagina delle opzioni senza perdere alcuna funzionalità. Lasciando abilitata questa funzione, l'utente autorizza la raccolta, il trasferimento e l'uso di dati di utilizzo anonimi, incluso ma non limitato al trasferimento a terzi.
Dove esattamente in questa descrizione spiega che monitoreranno ogni singola pagina che visiti e invieranno l'URL a una terza parte, che li pagherà per il tuo dati? Infatti, affermano ovunque di essere sponsorizzati tramite link di affiliazione, ignorando completamente il fatto che ti stanno spiando. Sì, è vero, stanno anche iniettando annunci ovunque. Ma cosa ti interessa di più, un annuncio visualizzato su una pagina o loro che prendono l'intera cronologia di navigazione e la rimandano a qualcun altro?
Sono in grado di farla franca perché hanno una minuscola casella di controllo sepolta nel loro pannello delle opzioni che dice "Abilita statistiche di utilizzo anonime", e puoi disabilitare quella "funzione", anche se vale la pena notare che per impostazione predefinita è selezionata.
Questa particolare estensione ha avuto una lunga storia di cattivi comportamenti, che risale a un bel po 'di tempo. Lo sviluppatore è stato recentemente catturato raccolta dei dati di navigazione Compreso dati del modulo ... ma è stato catturato anche l'anno scorso vendere dati su ciò che hai digitato a un'altra azienda. Ora hanno aggiunto una politica sulla privacy che spiega in modo più approfondito cosa sta succedendo, ma se devi leggere una politica sulla privacy per capire che sei spiato, hai un altro problema.
Per riassumere, un milione di persone vengono spiate solo da questa estensione. E questo è solo uno di queste estensioni - ce ne sono molte altre che fanno la stessa cosa.
Le estensioni possono cambiare di mano o aggiornarsi senza la tua conoscenza
Non c'è assolutamente alcun modo per sapere quando un'estensione è stata aggiornata per includere spyware, e poiché molti tipi di estensioni richiedono un sacco di autorizzazioni per funzionare correttamente in primo luogo prima che si trasformino in pezzi di spycraft che iniettano annunci, quindi hai vinto non viene richiesto quando esce la nuova versione.
A peggiorare le cose, molte di queste estensioni hanno cambiato mano nell'ultimo anno - e chiunque abbia mai scritto un'estensione è stato inondato di richieste di vendere la propria estensione a persone losche, che poi infettarti con annunci o spiarti . Poiché le estensioni non richiedono nuove autorizzazioni, non avrai mai la possibilità di scoprire quali sono state aggiunte al monitoraggio segreto a tua insaputa.
In futuro, ovviamente, dovresti evitare di installare del tutto estensioni o componenti aggiuntivi o essere molto attenzione a quelli che installi. Se chiedono le autorizzazioni per tutto sul tuo computer, dovresti fare clic sul pulsante Annulla ed eseguire.
Codice di monitoraggio nascosto con un interruttore di abilitazione remoto
Ci sono altre estensioni, in effetti, un sacco di loro, che hanno un codice di monitoraggio completo integrato, ma quel codice è attualmente disabilitato. Tali estensioni eseguono il ping di nuovo al server ogni 7 giorni per aggiornare la loro configurazione. Questi sono configurati per inviare ancora più dati indietro: calcolano esattamente quanto tempo hai aperto ogni scheda e quanto tempo spendi su ogni sito.
Abbiamo testato una di queste estensioni, chiamata Autocopy Original, inducendola a pensare che il comportamento di tracciamento dovesse essere abilitato e siamo stati in grado di vedere immediatamente una tonnellata di dati rimandati ai loro server. C'erano 73 di queste estensioni nel Chrome Store e alcune nel negozio di componenti aggiuntivi di Firefox. Sono facilmente identificabili perché provengono tutti da "wips.com" o "wips.com partners".
Ti chiedi perché siamo preoccupati per il codice di monitoraggio che non è nemmeno ancora abilitato? Perché la loro pagina di descrizione non dice una parola sul codice di monitoraggio, è sepolto come una casella di controllo su ciascuna delle loro estensioni. Quindi le persone installano le estensioni presumendo che provengano da un'azienda di qualità.
Ed è solo questione di tempo prima che il codice di monitoraggio venga abilitato.
Indagare su questa terribile estensione dello spionaggio
La persona media non saprà nemmeno che questo spionaggio è in corso: non vedrà una richiesta a un server, non avrà nemmeno un modo per dire che sta accadendo. La stragrande maggioranza di quei milioni di utenti non ne risentirà in alcun modo ... tranne per il fatto che i loro dati personali sono stati sottratti a loro. Quindi come lo capisci da solo? È chiamato Violinista .
Fiddler è uno strumento di debug web che funge da proxy e memorizza nella cache tutte le richieste in modo da poter vedere cosa sta succedendo. Questo è lo strumento che abbiamo utilizzato: se vuoi duplicare a casa, installa semplicemente una di queste estensioni di spionaggio come Hover Zoom e inizierai a vedere due richieste a siti simili a t.searchelper.com e api28.webovernet.com per ogni singola pagina che visualizzi. Se controlli il tag Inspectors vedrai un mucchio di testo codificato in base64 ... in effetti, è stato codificato in base64 due volte per qualche motivo. (Se vuoi il testo di esempio completo prima della decodifica, lo abbiamo nascosto in un file di testo qui).
Dopo aver decodificato con successo quel testo, vedrai esattamente cosa sta succedendo. Restituiscono la pagina corrente che stai visitando, insieme alla pagina precedente e un ID univoco per identificarti e alcune altre informazioni. La cosa più spaventosa di questo esempio è che ero sul mio sito bancario in quel momento, che è crittografato con SSL utilizzando HTTPS. Esatto, queste estensioni ti stanno ancora monitorando su siti che dovrebbero essere crittografati.
s = 1809 & md = 21 & pid=mi8PjvHcZYtjxAJ & sess = 23112540366128090 & sub = chrome
& q = https% 3A // secure.bankofamerica.com / login /sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Puoi rilasciare api28.webovernet.com e l'altro sito nel tuo browser per vedere dove portano, ma ti risparmieremo la suspense: sono in realtà reindirizzamenti per l'API di un'azienda chiamata Similar Web, che è una delle tante aziende fare questo tipo di monitoraggio e vendere i dati in modo che altre aziende possano spiare ciò che stanno facendo i loro concorrenti.
Se sei un tipo avventuroso, puoi trovare facilmente lo stesso codice di monitoraggio aprendo la pagina chrome: // extensions e facendo clic sulla modalità sviluppatore, quindi "Inspect views: html / background.html" o il testo simile che ti dice di ispezionare l'estensione. Questo ti permetterà di vedere cosa quell'estensione è in esecuzione tutto il tempo in background.
Una volta che fai clic per ispezionare, vedrai immediatamente un elenco di file sorgente e ogni sorta di altro materiale che probabilmente sarà greco per te. Le cose importanti in questo caso sono i due file chiamati tr_advanced.js e tr_simple.js. Questi contengono il codice di monitoraggio ed è sicuro che se vedi quei file all'interno di qualsiasi estensione, sei spiato o verrai spiato a un certo punto. Alcune estensioni contengono un codice di monitoraggio diverso, ovviamente, quindi solo perché la tua estensione non le ha, non significa nulla. I truffatori tendono ad essere ingannevoli.
Probabilmente noterai che l'URL sul lato destro non è esattamente lo stesso di quello precedente. Il codice sorgente di monitoraggio effettivo è piuttosto complicato e sembra che ogni estensione abbia un URL di monitoraggio diverso.
Impedire l'aggiornamento automatico di un'estensione (avanzato)
Se hai un'estensione che conosci e di cui ti fidi, e hai già verificato che non contenga nulla di male, puoi assicurarti che l'estensione non si aggiorni mai segretamente su di te con spyware, ma è davvero manuale e probabilmente non cosa vorrai fare.
Se vuoi ancora farlo, apri il pannello Estensioni, trova l'ID dell'estensione, quindi vai a% localappdata% \ google \ chrome \ User Data \ default \ Extensions e trova la cartella che contiene la tua estensione. Modifica la riga update_url nel manifest.json per sostituire clients2.google.com con localhost. Nota: non siamo ancora stati in grado di testarlo con un'estensione effettiva, ma dovrebbe funzionare.
Per Firefox, il processo è molto più semplice. Vai alla schermata dei componenti aggiuntivi, fai clic sull'icona del menu e deseleziona "Aggiorna automaticamente i componenti aggiuntivi".
Allora, dove ci lascia?
Abbiamo già stabilito che vengono aggiornate tantissime estensioni per includere codice di monitoraggio / spionaggio, inserimento di annunci e chissà cos'altro. Vengono venduti a società inaffidabili o gli sviluppatori vengono acquistati con la promessa di guadagni facili.
Una volta installato un componente aggiuntivo, non c'è modo di sapere che non includeranno spyware lungo la strada. Tutto quello che sappiamo è che ci sono molti componenti aggiuntivi ed estensioni che fanno queste cose.
Le persone ci hanno chiesto un elenco e, mentre abbiamo indagato, abbiamo trovato così tante estensioni che fanno queste cose, non siamo sicuri di poter fare un elenco completo di tutte. Aggiungeremo un elenco di loro all'argomento del forum associato a questo articolo, in modo che la community ci aiuti a generare un elenco più grande.
Visualizza l'elenco completo o inviaci il tuo feedback
