Het internet explodeerde vrijdag met het nieuws dat Google Chrome-extensies worden verkocht en geïnjecteerd met adware . Maar het weinig bekende en veel belangrijkere feit is dat uw extensies u bespioneren en uw browsegeschiedenis verkopen aan duistere bedrijven. HTG onderzoekt.
TL; DR-versie:
- Browser-add-ons voor Chrome, Firefox en waarschijnlijk andere browsers houden elke pagina die u bezoekt bij en sturen die gegevens terug naar een extern bedrijf dat ze voor uw informatie betaalt.
- Sommige van deze add-ons injecteren ook advertenties op de pagina's die u bezoekt, en Google staat dit specifiek toe om de een of andere reden, zolang het maar "duidelijk bekendgemaakt" is.
- Miljoenen van de mensen wordt op deze manier gevolgd en ze hebben geen idee.
Noemen we het officieel spyware? Nou ... het is niet zo eenvoudig. Wikipedia definieert spyware zoals "Software die helpt bij het verzamelen van informatie over een persoon of organisatie zonder hun medeweten en die dergelijke informatie naar een andere entiteit kan sturen zonder toestemming van de consument". Dat betekent niet dat alle software die gegevens verzamelt noodzakelijkerwijs spyware is, en het betekent niet dat alle software die gegevens terugstuurt naar hun servers noodzakelijkerwijs spyware is.
Maar wanneer de ontwikkelaar van een extensie zijn uiterste best doet om te verbergen dat elke pagina die u bezoekt, wordt opgeslagen en verzonden naar een bedrijf dat hen voor die gegevens betaalt, terwijl het in de instellingen wordt begraven als 'anonieme gebruiksstatistieken', daar is tenminste een probleem. Elke redelijke gebruiker zou aannemen dat als een ontwikkelaar gebruiksstatistieken wil bijhouden, hij alleen het gebruik van de extensie zelf zal volgen - maar het tegenovergestelde is waar. De meeste van deze extensies volgen al het andere dat u doet behalve met behulp van de extensie. Ze volgen alleen maar u.
Dit wordt nog problematischer omdat ze het " anoniem gebruiksstatistieken ”; het woord "anoniem" houdt in dat het onmogelijk zou zijn om erachter te komen van wie die gegevens zijn, alsof ze de gegevens van al uw informatie opschonen. Maar dat zijn ze niet. Ja, natuurlijk, ze gebruiken een anonieme token om jou te vertegenwoordigen in plaats van je volledige naam of e-mailadres, maar elke pagina die je bezoekt, is aan dat token gekoppeld. Zolang je die extensie hebt geïnstalleerd.
Houd de browsegeschiedenis van iemand lang genoeg bij, zodat u precies kunt achterhalen wie ze zijn.
Hoe vaak heb je je eigen Facebook-profielpagina of je Pinterest-, Google+ of andere pagina geopend? Is het u ooit opgevallen hoe de URL uw naam bevat of iets dat u identificeert? Zelfs als u nooit een van deze sites heeft bezocht, is het mogelijk om erachter te komen wie u bent.
Ik weet niets over u, maar mijn browsegeschiedenis wel de mijne, en niemand zou daar toegang toe moeten hebben behalve ik. Er is een reden waarom computers wachtwoorden hebben en iedereen ouder dan vijf weet hoe hij zijn browsergeschiedenis moet verwijderen. Wat u op internet bezoekt, is heel persoonlijk en niemand zou de lijst met pagina's die ik bezoek mogen hebben, behalve ikzelf, zelfs als mijn naam niet specifiek aan de lijst is gekoppeld.
Ik ben geen advocaat, maar in het programmabeleid voor Google-ontwikkelaars voor Chrome-extensies staat specifiek dat het een extensieontwikkelaar niet mag worden toegestaan mijn persoonlijke gegevens te publiceren:
We staan geen ongeautoriseerde publicatie toe van persoonlijke en vertrouwelijke informatie van mensen, zoals creditcardnummers, door de overheid geïdentificeerde nummers, rijbewijsnummers en andere licentienummers, of enige andere informatie die niet openbaar toegankelijk is.
Hoe is mijn browsegeschiedenis precies niet persoonlijke informatie? Het is absoluut niet openbaar toegankelijk!
Ja, veel van deze extensies voegen ook advertenties toe
Het probleem wordt nog verergerd door een groot aantal extensies die advertenties injecteren op veel van de pagina's die u bezoekt. Deze extensies plaatsen hun advertenties gewoon waar ze willekeurig kiezen om ze op de pagina te plaatsen, en ze hoeven alleen een klein stukje tekst op te nemen dat aangeeft waar de advertentie vandaan komt, wat de meeste mensen zullen negeren, omdat de meeste mensen niet eens kijk naar advertenties.
VERWANT: De vele manieren waarop websites u online volgen
Wanneer u met advertenties te maken heeft, daar zullen ook cookies worden betrokken . (Het is vermeldenswaard dat deze site door advertenties wordt ondersteund en dat de adverteerders cookies op uw harde schijf plaatsen, net als elke site op internet.) We denken niet dat cookies zo belangrijk zijn, maar als u dat doet, zijn ze dat wel vrij gemakkelijk in de omgang .
De adware-extensies zijn eigenlijk minder een probleem, als je het kunt geloven, want wat ze doen is heel duidelijk voor de gebruikers van de extensie, die er dan opschudding over kunnen beginnen en proberen de ontwikkelaar te laten stoppen. We zouden absoluut willen dat Google en Mozilla hun belachelijke beleid zouden wijzigen om dat gedrag te verbieden, maar we kunnen ze niet helpen om gezond verstand te krijgen.
Tracking daarentegen gebeurt in het geheim, of is in wezen geheim omdat ze proberen te verbergen wat ze in de legale taal doen in de beschrijving van de extensies, en niemand scrolt naar de onderkant van het leesmij-bestand om erachter te komen of die extensie is mensen gaan volgen.
Deze spionage gaat schuil achter EULA's en privacybeleid
Deze extensies zijn "toegestaan" om zich bezig te houden met dit trackinggedrag omdat ze het "onthullen" op hun beschrijvingspagina of op een bepaald punt in hun optiepaneel. Bijvoorbeeld de HoverZoom-extensie , die een miljoen gebruikers heeft, zegt het volgende op hun beschrijvingspagina, helemaal onderaan:
Hover Zoom maakt gebruik van anonieme gebruiksstatistieken. Dit kan worden uitgeschakeld op de pagina met opties zonder dat er ook functies verloren gaan. Door deze functie ingeschakeld te laten, geeft de gebruiker toestemming voor het verzamelen, overdragen en gebruiken van anonieme gebruiksgegevens, inclusief maar niet beperkt tot overdracht aan derden.
Waar precies in deze beschrijving wordt uitgelegd dat ze elke pagina die u bezoekt, volgen en de URL terugsturen naar een derde partij, die hen betaalt voor uw gegevens? In feite beweren ze overal dat ze worden gesponsord via gelieerde links, waarbij ze volledig negeren dat ze je bespioneren. Ja, dat klopt, ze injecteren ook overal advertenties. Maar waar geeft u meer om, een advertentie die op een pagina wordt weergegeven, of ze nemen uw volledige browsegeschiedenis en sturen deze terug naar iemand anders?
Ze kunnen hiermee wegkomen omdat ze een klein selectievakje hebben begraven in hun optiepaneel met de tekst 'Anonieme gebruiksstatistieken inschakelen' en je kunt die 'functie' uitschakelen - hoewel het de moeite waard is om op te merken dat deze standaard is aangevinkt.
Deze specifieke extensie heeft een lange geschiedenis van slecht gedrag gehad, die al geruime tijd teruggaat. De ontwikkelaar is onlangs betrapt het verzamelen van browsegegevens inclusief formuliergegevens … Maar hij werd vorig jaar ook gepakt gegevens verkopen over wat je hebt getypt naar een ander bedrijf. Ze hebben nu een privacybeleid toegevoegd waarin nader wordt uitgelegd wat er aan de hand is, maar als je een privacybeleid moet lezen om erachter te komen dat je wordt bespioneerd, heb je een ander probleem.
Kortom, alleen al door deze ene extensie worden een miljoen mensen bespioneerd. En dat is gewoon een van deze extensies - er zijn er nog veel meer die hetzelfde doen.
Extensies kunnen van eigenaar wisselen of zonder uw medeweten worden bijgewerkt
Er is absoluut geen manier om te weten wanneer een extensie is bijgewerkt om spyware te bevatten, en aangezien veel soorten extensies een hoop machtigingen nodig hebben om zelfs maar goed te werken voordat ze in advertentie-injecterende stukjes spycraft veranderen, heb je gewonnen wordt niet gevraagd wanneer de nieuwe versie uitkomt.
Om het nog erger te maken, veel van deze extensies zijn van eigenaar veranderd in het afgelopen jaar - en iedereen die ooit een extensie heeft geschreven, wordt overspoeld met verzoeken om hun extensie te verkopen aan duistere individuen, die dan u infecteren met advertenties of u bespioneren . Aangezien voor de extensies geen nieuwe machtigingen nodig zijn, krijgt u nooit de mogelijkheid om erachter te komen welke zonder uw medeweten geheime tracking hebben toegevoegd.
In de toekomst moet u natuurlijk ofwel het installeren van extensies of add-ons volledig vermijden, of dat wel zijn heel wees voorzichtig met welke u installeert. Als ze toestemming vragen voor alles op uw computer, moet u op die knop Annuleren klikken en uitvoeren.
Verborgen trackingcode met een externe activeringsschakelaar
Er zijn in feite een heleboel andere extensies met een volledige ingebouwde trackingcode, maar die code is momenteel uitgeschakeld. Die extensies pingen elke 7 dagen terug naar de server om hun configuratie bij te werken. Deze zijn geconfigureerd om nog meer gegevens terug te sturen - ze berekenen precies hoe lang je elk tabblad open hebt staan en hoe lang je op elke site doorbrengt.
We hebben een van deze extensies, Autocopy Original genaamd, getest door hem te laten denken dat het volggedrag zou moeten zijn ingeschakeld, en we konden onmiddellijk zien dat een hoop gegevens naar hun servers werden teruggestuurd. Er waren 73 van deze extensies in de Chrome Store en enkele in de Firefox-add-onswinkel. Ze zijn gemakkelijk te herkennen omdat ze allemaal afkomstig zijn van “wips.com” of “wips.com partners”.
Vraagt u zich af waarom we ons zorgen maken over een trackingcode die nog niet eens is ingeschakeld? Omdat hun beschrijvingspagina geen woord zegt over de trackingcode, staat deze verborgen als een selectievakje op elk van hun extensies. Mensen installeren de extensies dus in de veronderstelling dat ze van een kwaliteitsbedrijf zijn.
En het is slechts een kwestie van tijd voordat die trackingcode wordt ingeschakeld.
Onderzoek naar deze spionage-extensie
De gemiddelde persoon zal nooit eens weten dat deze spionage plaatsvindt - ze zullen geen verzoek aan een server zien, ze zullen niet eens een manier hebben om te vertellen dat het gebeurt. De overgrote meerderheid van die miljoen gebruikers zal op geen enkele manier worden beïnvloed ... behalve dat hun persoonlijke gegevens onder hen vandaan zijn gestolen. Dus hoe kom je er zelf achter? Het heet Fiddler .
Fiddler is een web-debugging-tool die fungeert als een proxy en alle verzoeken in de cache opslaat, zodat u kunt zien wat er aan de hand is. Dit is de tool die we hebben gebruikt - als je thuis wilt dupliceren, installeer dan gewoon een van deze spionage-extensies zoals Hover Zoom, en je zult twee verzoeken zien voor sites vergelijkbaar met t.searchelper.com en api28.webovernet.com voor elke pagina die u bekijkt. Als je de Inspectors-tag aanvinkt, zie je een heleboel base64-gecodeerde tekst ... in feite is het om de een of andere reden twee keer base64-gecodeerd. (Als u de volledige voorbeeldtekst wilt voordat u decodeert, hebben we deze hier in een tekstbestand opgeslagen).
Zodra u die tekst met succes heeft gedecodeerd, ziet u precies wat er aan de hand is. Ze sturen de huidige pagina die u bezoekt terug, samen met de vorige pagina, en een uniek ID om u te identificeren, en wat andere informatie. Het erg enge aan dit voorbeeld is dat ik op dat moment op mijn banksite was, die SSL-gecodeerd is met HTTPS. Dat klopt, deze extensies volgen u nog steeds op sites die moeten worden versleuteld.
s = 1809 & md = 21 & pid = mi8PjvHcZYtjxAJ & sess = 23112540366128090 & sub = chroom
& q = https% 3A // secure.bankofamerica.com / login /sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
U kunt api28.webovernet.com en de andere site in uw browser plaatsen om te zien waar ze naartoe leiden, maar we besparen u de spanning: het zijn eigenlijk omleidingen voor de API voor een bedrijf genaamd Similar Web, dat een van de vele bedrijven is door dit soort tracking te doen en de gegevens te verkopen zodat andere bedrijven kunnen bespioneren wat hun concurrenten doen.
Als u een avontuurlijk type bent, kunt u gemakkelijk dezelfde trackingcode vinden door uw chrome: // extensions-pagina te openen en op de ontwikkelaarsmodus te klikken en vervolgens op 'Inspect views: html / background.html' of de vergelijkbare tekst die vertelt u om de extensie te inspecteren. Dit laat je zien wat die extensie de hele tijd op de achtergrond draait.
Zodra u klikt om te inspecteren, ziet u onmiddellijk een lijst met bronbestanden en allerlei andere dingen die waarschijnlijk Grieks voor u zijn. De belangrijkste dingen in dit geval zijn de twee bestanden met de naam tr_advanced.js en tr_simple.js. Deze bevatten de trackingcode en het is veilig om te zeggen dat als u die bestanden in een extensie ziet, u wordt bespioneerd of op een bepaald moment wordt bespioneerd. Sommige extensies bevatten natuurlijk een andere trackingcode, dus alleen omdat uw extensie deze niet heeft, betekent dit niets. Oplichters zijn vaak lastig.
U zult waarschijnlijk opmerken dat de URL aan de rechterkant niet helemaal hetzelfde is als de vorige. De eigenlijke trackingbroncode is behoorlijk ingewikkeld en het lijkt erop dat elke extensie een andere tracking-URL heeft.
Voorkomen dat een extensie automatisch wordt bijgewerkt (geavanceerd)
Als je een extensie hebt die je kent en vertrouwt, en je hebt al geverifieerd dat deze niets slechts bevat, kun je ervoor zorgen dat de extensie je nooit stiekem bijwerkt met spyware - maar het is echt handmatig en waarschijnlijk niet wat je wilt doen.
Als u dit toch wilt doen, opent u het paneel Extensies, zoekt u de ID van de extensie, gaat u naar% localappdata% \ google \ chrome \ User Data \ default \ Extensions en zoekt u de map met uw extensie. Wijzig de regel update_url in manifest.json om clients2.google.com te vervangen door localhost. Notitie: we hebben dit nog niet kunnen testen met een echte extensie, maar het zou moeten werken.
Voor Firefox is het proces een stuk eenvoudiger. Ga naar het Add-ons-scherm, klik op het menupictogram en vink "Update Add-ons automatisch" uit.
Dus waar laat dit ons?
We hebben al vastgesteld dat veel extensies worden bijgewerkt met tracking- / spionagecode, het injecteren van advertenties en wie weet wat nog meer. Ze worden verkocht aan onbetrouwbare bedrijven, of de ontwikkelaars worden gekocht met de belofte van gemakkelijk geld.
Als u eenmaal een add-on heeft geïnstalleerd, is er geen manier om te weten dat deze later geen spyware zal bevatten. Het enige dat we wel weten, is dat er veel add-ons en extensies zijn die deze dingen doen.
Mensen hebben ons om een lijst gevraagd, en terwijl we aan het onderzoeken waren, hebben we zoveel extensies gevonden die deze dingen doen, dat we niet zeker weten of we er een volledige lijst van kunnen maken. We voegen een lijst ervan toe aan het forumonderwerp dat aan dit artikel is gekoppeld, zodat we de community kunnen vragen om een grotere lijst te genereren.
Bekijk de volledige lijst of geef ons uw feedback
