Internett eksploderte fredag med nyheten om at Google Chrome-utvidelser selges og injiseres med adware . Men det lite kjente og mye viktigere faktum er at utvidelsene dine spionerer på deg og selger nettleserloggen din til skyggefulle selskaper. HTG etterforsker.
TL; DR-versjon:
- Nettlesertillegg for Chrome, Firefox og sannsynligvis andre nettlesere sporer hver eneste side du besøker og sender dataene tilbake til et tredjepartsfirma som betaler dem for informasjonen din.
- Noen av disse tilleggene injiserer også annonser på sidene du besøker, og Google tillater spesifikt dette av en eller annen grunn så lenge det er "klart avslørt".
- Millioner av mennesker blir sporet på denne måten, og de har ikke peiling.
Kaller vi det offisielt spyware? Vel ... det er ikke helt så enkelt. Wikipedia definerer spyware som “Programvare som hjelper til med å samle informasjon om en person eller organisasjon uten deres kunnskap, og som kan sende slik informasjon til en annen enhet uten forbrukerens samtykke”. Det betyr ikke at all programvare som samler inn data nødvendigvis er spyware, og det betyr ikke at all programvare som sender data tilbake til serverne, nødvendigvis er spyware.
Men når utvikleren av en utvidelse går ut av deres måte å skjule det faktum at hver eneste side du besøker blir lagret og sendt til et selskap som betaler dem for disse dataene mens de begraves i innstillingene som "anonym bruksstatistikk", der er i det minste et problem. Enhver rimelig bruker vil anta at hvis en utvikler vil spore bruksstatistikk, vil de bare spore bruken av selve utvidelsen - men det motsatte er sant. De fleste av disse utvidelsene sporer alt annet du gjør unntatt bruker utvidelsen. De sporer bare du.
Dette blir enda mer problematisk fordi de kaller det “ anonym bruksstatistikk ”; ordet “anonym” innebærer at det ville være umulig å finne ut hvem dataene tilhører, som om de skrubber dataene rene for all informasjonen din. Men det er de ikke. Ja, visst, de bruker et anonymt token for å representere deg i stedet for ditt fulle navn eller e-post, men hver eneste side du besøker er knyttet til det tokenet. Så lenge du har den utvidelsen installert.
Spor noens nettlogg lenge nok, og du kan finne ut nøyaktig hvem de er.
Hvor mange ganger har du åpnet din egen Facebook-profilside eller Pinterest, Google+ eller annen side? Har du noen gang lagt merke til hvordan nettadressen inneholder navnet ditt eller noe som identifiserer deg? Selv om du aldri har besøkt noen av disse nettstedene, er det mulig å finne ut hvem du er.
Jeg vet ikke om deg, men nettleserloggen min er det min, og ingen skal ha tilgang til det, bortsett fra meg. Det er en grunn til at datamaskiner har passord, og alle eldre enn fem vet om å slette nettleserloggen. Det du besøker på internett er veldig personlig, og ingen skal ha listen over sider jeg besøker, bortsett fra meg, selv om navnet mitt ikke er spesielt knyttet til listen.
Jeg er ikke advokat, men Googles utviklerprogramretningslinjer for Chrome-utvidelser sier spesielt at en utvidelsesutvikler ikke skal ha lov til å publisere noen av mine personlige opplysninger:
Vi tillater ikke uautorisert publisering av folks private og konfidensielle informasjon, for eksempel kredittkortnumre, myndighetsnummer, fører- og andre lisensnumre eller annen informasjon som ikke er offentlig tilgjengelig.
Nøyaktig hvordan er nettleserloggen min ikke personlig informasjon? Det er definitivt ikke offentlig tilgjengelig!
Jepp, mange av disse utvidelsene setter også inn annonser
Problemet forsterkes av et stort antall utvidelser som injiserer annonser på mange av sidene du besøker. Disse utvidelsene setter bare annonsene sine der de tilfeldig velger å legge dem inn på siden, og de er bare pålagt å inkludere et lite stykke tekst som identifiserer hvor annonsen kom fra, som folk flest vil ignorere, fordi de fleste ikke engang se på annonser.
I SLEKT: The Many Ways Websites Track You Online
Når du har å gjøre med annonser, der kommer også til å være informasjonskapsler involvert . (Det er verdt å merke seg at dette nettstedet er annonsestøttet, og at annonsørene setter informasjonskapsler på harddisken din, akkurat som alle nettsteder på internett.) Vi synes ikke informasjonskapsler er noen veldig stor avtale, men hvis du gjør det, er de ganske lett å håndtere .
Adware-utvidelsene er faktisk mindre av et problem, hvis du kan tro det, fordi det de gjør er veldig åpenbart for brukerne av utvidelsen, som deretter kan starte et opprør om det og prøve å få utvikleren til å stoppe. Vi ønsker absolutt at Google og Mozilla vil endre deres latterlige policyer for å forby atferd, men vi kan ikke hjelpe dem med å få sunn fornuft.
Sporing skjer derimot i det skjulte, eller er i det vesentlige hemmelig fordi de prøver å skjule det de gjør i juridisk lov i beskrivelsen av utvidelsene, og ingen ruller til bunnen av readme for å finne ut om utvidelsen er kommer til å spore folk.
Dette spioneringen er skjult bak EULAs og personvernregler
Disse utvidelsene er "tillatt" å engasjere seg i denne sporingsadferden fordi de "avslører" den på beskrivelsessiden eller på et eller annet tidspunkt i alternativpanelet. For eksempel HoverZoom-utvidelse , som har en million brukere, sier følgende på beskrivelsessiden, helt nederst:
Hover Zoom bruker anonym brukerstatistikk. Dette kan deaktiveres på valgsiden uten å miste noen funksjoner også. Ved å la denne funksjonen være aktivert, godkjenner brukeren innsamling, overføring og bruk av anonyme bruksdata, inkludert men ikke begrenset til overføring til tredjepart.
Hvor nøyaktig i denne beskrivelsen forklarer det at de skal spore hver eneste side du besøker og sende URL-en tilbake til en tredjepart, som betaler dem for din data? Faktisk hevder de overalt at de er sponset gjennom tilknyttede lenker, og ignorerer fullstendig det faktum at de spionerer på deg. Ja, det stemmer, de injiserer også annonser overalt. Men hva bryr du deg mer om, en annonse som vises på en side, eller at de tar hele nettleserloggen din og sender den tilbake til noen andre?
De er i stand til å slippe unna med dette fordi de har en liten, liten avkrysningsrute begravet i alternativpanelet som sier "Aktiver anonym bruksstatistikk", og du kan deaktivere den "funksjonen" - selv om det er verdt å merke seg at den er standard som sjekket.
Denne spesielle utvidelsen har hatt en lang historie med dårlig oppførsel, og går ganske lenge tilbake. Utvikleren er nylig tatt samle inn surfing data gjelder også skjemadata ... men han ble også tatt i fjor selge data om det du skrev inn til et annet selskap. De har lagt til en personvernpolicy nå som forklarer nærmere hva som skjer, men hvis du må lese en personvernpolicy for å finne ut at du blir spionert på, har du et annet problem.
For å oppsummere blir en million mennesker spionert av bare denne utvidelsen. Og det er bare en av disse utvidelsene - det er mange flere som gjør det samme.
Utvidelser kan skifte hender eller oppdatere uten din kunnskap
Det er absolutt ingen måte å vite når en utvidelse er oppdatert for å inkludere spionprogramvare, og siden mange typer utvidelser trenger massevis av tillatelser for å fungere ordentlig i utgangspunktet før de blir til annonseinjiserende biter av sonden, så du vant blir ikke bedt om når den nye versjonen kommer ut.
For å gjøre saken verre, mange av disse utvidelsene har skiftet hender det siste året - og noen som noen gang har skrevet en utvidelse blir oversvømmet med forespørsler om å selge utvidelsen til skyggefulle individer, som da smitte deg med annonser eller spionere på deg . Siden utvidelsene ikke krever nye tillatelser, har du aldri muligheten til å finne ut hvilke som har lagt til hemmelig sporing uten din viten.
I fremtiden, selvfølgelig, bør du enten unngå å installere utvidelser eller tillegg helt, eller være veldig nøye med hvilke du installerer. Hvis de ber om tillatelser til alt på datamaskinen din, bør du klikke på Avbryt-knappen og kjøre.
Skjult sporingskode med en ekstern aktiveringsbryter
Det er andre utvidelser, faktisk massevis av dem, som har komplett sporingskode innebygd rett inn - men den koden er for øyeblikket deaktivert. Disse utvidelsene ping tilbake til serveren hver 7. dag for å oppdatere konfigurasjonen. Disse er konfigurert til å sende enda mer data tilbake - de beregner nøyaktig hvor lenge du har hver fane åpen, og hvor lang tid du bruker på hvert nettsted.
Vi testet en av disse utvidelsene, kalt Autocopy Original, ved å lure den til å tro at sporingsoppførselen skulle være aktivert, og vi kunne umiddelbart se massevis av data sendt tilbake til serverne deres. Det var 73 av disse utvidelsene i Chrome Store, og noen i Firefox-tilleggsbutikken. De er lett identifiserbare fordi de alle er fra “wips.com” eller “wips.com-partnere”.
Lurer du på hvorfor vi er bekymret for sporingskode som ikke engang er aktivert ennå? Fordi beskrivelsessiden ikke sier et ord om sporingskoden - den er begravet som en avkrysningsrute på hver av utvidelsene deres. Så folk installerer utvidelsene forutsatt at de kommer fra et kvalitetsfirma.
Og det er bare et spørsmål om tid før sporingskoden er aktivert.
Undersøke denne spioneringsforlengelsesforferdigheten
Den gjennomsnittlige personen vil ikke engang vite at dette spioneringen pågår - de vil ikke se en forespørsel til en server, de vil ikke engang ha en måte å fortelle at det skjer. De aller fleste av disse millionene brukere blir ikke berørt på noen måte ... bortsett fra at deres personlige data ble stjålet under dem. Så hvordan finner du ut av dette selv? Det heter Spelemann .
Fiddler er et nettfeilsøkingsverktøy som fungerer som en proxy og cacher alle forespørslene slik at du kan se hva som skjer. Dette er verktøyet vi brukte - hvis du vil duplisere hjemme, er det bare å installere en av disse spioneringsutvidelsene som Hover Zoom, så begynner du å se to forespørsler til nettsteder som ligner på t.searchelper.com og api28.webovernet.com for hver enkelt side du ser på. Hvis du ser på Inspectors-taggen, ser du en mengde base64-kodet tekst ... faktisk har den blitt base64-kodet to ganger av en eller annen grunn. (Hvis du vil ha hele eksempelteksten før dekoding, lagde vi den i en tekstfil her).
Når du har dekodet teksten, ser du nøyaktig hva som skjer. De sender tilbake den gjeldende siden du besøker, sammen med forrige side, og en unik ID for å identifisere deg, og litt annen informasjon. Det veldig skummelt med dette eksemplet er at jeg var på banksiden min den gangen, som er SSL-kryptert ved hjelp av HTTPS. Det stemmer, disse utvidelsene sporer deg fortsatt på nettsteder som skal krypteres.
s = 1809 & md = 21 & pid = mi8PjvHcZYtjxAJ & sess = 23112540366128090 & sub = krom
& q = https% 3A // secure.bankofamerica.com / login /sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Du kan slippe api28.webovernet.com og det andre nettstedet i nettleseren din for å se hvor de leder, men vi vil spare deg for spenningen: de er faktisk viderekoblinger for API for et selskap som heter Similar Web, som er et av mange selskaper gjøre denne typen sporing og selge dataene slik at andre selskaper kan spionere på hva konkurrentene deres gjør.
Hvis du er den eventyrlystne typen, kan du enkelt finne den samme sporingskoden ved å åpne siden for Chrome: // utvidelser og klikke på utvikler-modus, og deretter "Inspiser visninger: html / bakgrunn.html" eller lignende tekst som forteller deg å inspisere utvidelsen. Dette vil la deg se hva den utvidelsen kjører hele tiden i bakgrunnen.
Når du har klikket for å inspisere, vil du umiddelbart se en liste over kildefiler og alle slags andre ting som sannsynligvis vil være greske for deg. De viktige tingene i dette tilfellet er de to filene som heter tr_advanced.js og tr_simple.js. Disse inneholder sporingskoden, og det er trygt å si at hvis du ser filene inne i en hvilken som helst utvidelse, blir du spionert på eller vil bli spionert på et eller annet tidspunkt. Noen utvidelser inneholder selvfølgelig annen sporingskode, så bare fordi utvidelsen ikke har disse, betyr ikke det noe. Svindlere har en tendens til å være vanskelig.
Du vil sannsynligvis merke at nettadressen på høyre side ikke er den samme som den tidligere. Den faktiske sporingskildekoden er ganske komplisert, og det ser ut til at hver utvidelse har en annen sporings-URL.
Forhindre at en utvidelse oppdateres automatisk (avansert)
Hvis du har en utvidelse som du kjenner og stoler på, og du allerede har bekreftet at den ikke inneholder noe dårlig, kan du sørge for at utvidelsen aldri hemmelig oppdateres på deg med spionprogramvare - men det er virkelig manuelt og sannsynligvis ikke hva du vil gjøre.
Hvis du fortsatt vil gjøre det, åpner du Extensions-panelet, finner ID-en til utvidelsen, og deretter går du til% localappdata% \ google \ chrome \ User Data \ default \ Extensions og finner mappen som inneholder utvidelsen din. Endre oppdateringslinjen i manifest.json for å erstatte clients2.google.com med localhost. Merk: vi har ikke vært i stand til å teste dette med en faktisk utvidelse ennå, men det skal fungere.
For Firefox er prosessen mye enklere. Gå til tilleggsskjermen, klikk på menyikonet, og fjern merket for "Oppdater tillegg automatisk".
Så hvor forlater dette oss?
Vi har allerede konstatert at masse utvidelser oppdateres for å inkludere sporing / spioneringskode, injisere annonser, og hvem vet hva mer. De selges til upålitelige selskaper, eller utviklerne blir kjøpt med et løfte om enkle penger.
Når du har installert et tillegg, er det ingen måte å vite at de ikke kommer til å inkludere spionprogramvare. Alt vi vet er at det er mange tillegg og utvidelser som gjør disse tingene.
Folk har bedt oss om en liste, og som vi har undersøkt, har vi funnet så mange utvidelser som gjør disse tingene, og vi er ikke sikre på at vi kan lage en komplett liste over dem alle. Vi legger til en liste over dem i forumemnet som er knyttet til denne artikkelen, slik at vi kan få fellesskapet til å hjelpe oss med å generere en større liste.
Se hele listen eller gi oss tilbakemeldinger
