Інтернет вибухнув у п’ятницю новиною про те, що Розширення Google Chrome продаються та вводяться з рекламним ПЗ . Але маловідомий і набагато важливіший факт полягає в тому, що ваші розширення шпигують за вами і продають вашу історію перегляду тіньовим корпораціям. HTG проводить розслідування.
TL; версія DR:
- Додатки браузера для Chrome, Firefox та, можливо, інших браузерів відстежують кожну сторінку, яку ви відвідуєте, і надсилають ці дані назад сторонній компанії, яка платить їм за вашу інформацію.
- Деякі з цих доповнень також вводять рекламу на сторінки, які ви відвідуєте, та Google спеціально дозволяє це чомусь до тих пір, поки це "чітко розкрито".
- Мільйони людей відстежують таким чином, і вони не мають поняття.
Ми офіційно називаємо це шпигунським програмним забезпеченням? Ну ... не все так просто. Вікіпедія визначає шпигунське програмне забезпечення як "Програмне забезпечення, яке допомагає збирати інформацію про особу чи організацію без їх відома, і яке може надсилати таку інформацію до іншого суб’єкта господарювання без згоди споживача". Це не означає, що все програмне забезпечення, яке збирає дані, обов'язково є шпигунським програмним забезпеченням, і це не означає, що все програмне забезпечення, яке надсилає дані назад на свої сервери, обов'язково є шпигунським.
Але коли розробник розширення намагається приховати той факт, що кожна сторінка, яку ви відвідуєте, зберігається та надсилається корпорації, яка платить їм за ці дані, заховаючи їх у налаштуваннях як "анонімну статистику використання", там це проблема, принаймні. Будь-який розумний користувач припустить, що якщо розробник хоче відстежувати статистику використання, він буде відстежувати лише використання самого розширення - але все навпаки. Більшість з цих розширень відстежують все, що ви робите крім за допомогою розширення. Вони просто відстежують ти.
Це стає ще більш проблематичним, оскільки вони називають це “ анонімний статистика використання ”; слово «анонімний» означає, що було б неможливо зрозуміти, кому ці дані належать, ніби вони очищають дані від усієї вашої інформації. Але це не так. Так, звичайно, вони використовують анонімний маркер, щоб представляти вас, а не ваше повне ім’я чи електронну адресу, але кожна сторінка, яку ви відвідуєте, пов’язана з цим маркером. Поки у вас встановлено це розширення.
Досить довго відстежуйте історію переглядів будь-кого, і ви зможете точно з’ясувати, хто вони.
Скільки разів ви відкривали свою власну сторінку профілю Facebook, свою Pinterest, Google+ чи іншу сторінку? Ви коли-небудь помічали, як URL-адреса містить ваше ім’я або щось, що ідентифікує вас? Навіть якщо ви ніколи не відвідували жодного з цих сайтів, з’ясувати, хто ви є, можливо.
Я не знаю про вас, але моя історія перегляду така Шахта, і ніхто не повинен мати до цього доступу, крім мене. Існує причина, чому комп’ютери мають паролі, і всі люди старше 5 років знають про видалення своєї історії браузера. Те, що ви відвідуєте в Інтернеті, є дуже особистим, і перелік сторінок, які я відвідую, крім мене, не повинен мати ніхто, навіть якщо моє ім’я не пов’язане зі списком.
Я не юрист, але в програмній політиці розробника Google для розширень Chrome конкретно сказано, що розробник розширень не повинен мати право публікувати будь-яку мою особисту інформацію:
Ми не дозволяємо несанкціоновану публікацію приватної та конфіденційної інформації людей, наприклад номерів кредитних карток, державних ідентифікаційних номерів, номерів водійських та інших посвідчень або будь-якої іншої інформації, яка не є загальнодоступною.
Як саме моя історія перегляду не є особистою інформацією? Це точно не доступно для всіх!
Так, багато з цих розширень також вставляють оголошення
Проблема ускладнюється великою кількістю розширень, які вводять рекламу на багато сторінок, які ви відвідуєте. Ці розширення просто розміщують свої оголошення там, де вони випадковим чином вирішили розмістити їх на сторінці, і вони повинні лише включити крихітний шматок тексту, що визначає, звідки походить оголошення, який більшість людей ігноруватимуть, оскільки більшість людей навіть не подивіться на рекламу.
ПОВ'ЯЗАНІ: Багато способів веб-сайти відстежують вас в Інтернеті
Щоразу, коли ви маєте справу з рекламою, там також будуть задіяні файли cookie . (Варто зазначити, що цей веб-сайт підтримується рекламою, і рекламодавці розміщують на вашому жорсткому диску файли cookie, як і кожен веб-сайт в Інтернеті.) Ми не вважаємо, що файли cookie є великою справою, але якщо ви це зробите, вони досить легко впоратися .
Розширення рекламного програм насправді є меншою проблемою, якщо ви можете у це повірити, тому що те, що вони роблять, є дуже очевидним для користувачів розширення, які потім можуть почати галасувати про це і спробувати змусити розробника зупинитись. Ми однозначно бажаємо, щоб Google та Mozilla змінили свою смішну політику, щоб заборонити таку поведінку, але ми не можемо допомогти їм отримати здоровий глузд.
З іншого боку, відстеження здійснюється таємно або, по суті, є секретним, оскільки вони намагаються приховати те, що вони роблять узаконеним текстом, в описі розширень, і ніхто не прокручує до кінця readme, щоб з’ясувати, чи є це розширення збирається відстежувати людей.
Це шпигунство приховано за ліцензійними договорами та політикою конфіденційності
Цим розширенням "дозволено" брати участь у цій поведінці відстеження, оскільки вони "розкривають" це на своїй сторінці опису або в певний момент на панелі параметрів. Наприклад, Розширення HoverZoom , який має мільйон користувачів, у нижній частині сторінки опису сказано наступне:
Zoom Zoom використовує анонімну статистику використання. Це можна вимкнути на сторінці параметрів, не втрачаючи при цьому жодних функцій. Залишаючи цю функцію включеною, користувач санкціонує збір, передачу та використання анонімних даних про використання, включаючи, але не обмежуючись, передачу третім особам.
Де саме в цьому описі пояснюється, що вони збираються відстежувати кожну сторінку, яку ви відвідуєте, і посилати URL-адресу третій стороні, яка платить ваш дані? Насправді вони скрізь стверджують, що їх фінансують через партнерські посилання, повністю ігноруючи той факт, що вони шпигують за вами. Так, це правильно, вони також ін’єктують рекламу скрізь. Але що вам більше до того, реклама, яка відображається на сторінці, або вони беруть всю вашу історію перегляду та відправляють її комусь іншому?
Вони можуть уникнути цього, оскільки на їхній панелі параметрів є маленький маленький прапорець, на якому написано «Увімкнути анонімну статистику використання», і ви можете відключити цю «функцію» - хоча варто зазначити, що за замовчуванням перевіряється.
Це конкретне розширення мало довгу історію поганої поведінки, яка тривала досить давно. Розробника нещодавно спіймали збір даних перегляду в тому числі дані форми ... але його також спіймали минулого року продаж даних про те, що ви ввели до іншої компанії. Зараз вони додали політику конфіденційності, яка детальніше пояснює, що відбувається, але якщо вам потрібно прочитати політику конфіденційності, щоб з’ясувати, що за вами шпигують, у вас є інша проблема.
Підводячи підсумок, лише за цим розширенням підглядається мільйон людей. І це просто один з цих розширень - набагато більше людей роблять те саме.
Розширення можуть змінити руки або оновити без вашого відома
Немає абсолютно жодного способу дізнатись, коли розширення оновлено, щоб включити шпигунське програмне забезпечення, а оскільки для багатьох типів розширень потрібна маса дозволів, щоб навіть працювати належним чином, перш ніж вони перетворюються на шпигунські шматочки, що вводять рекламу, тож ви виграли не буде запропоновано, коли вийде нова версія.
Що ще гірше, багато з цих розширень змінили власників протягом останнього року - і будь-кого, хто коли-небудь писав продовження, заповнюють прохання продати його продовження тіньовим особам, які потім заразити вас рекламою або підглядати . Оскільки розширення не вимагають нових дозволів, ви ніколи не матимете можливості з’ясувати, які з них додали секретне відстеження без вашого відома.
У майбутньому, звичайно, вам слід або повністю уникати встановлення розширень або аддонів, або бути дуже обережно, які саме ви встановлюєте. Якщо вони запитують дозволи на все на вашому комп’ютері, вам слід натиснути цю кнопку Скасувати і запустити.
Прихований код відстеження за допомогою перемикача дистанційного ввімкнення
Є й інші розширення, насправді, тонна з них, які мають повний код відстеження, вбудований прямо - але цей код наразі вимкнено. Ці розширення повертаються до сервера кожні 7 днів, щоб оновити конфігурацію. Вони налаштовані на надсилання ще більше даних назад - вони точно розраховують, скільки часу у вас відкрита кожна вкладка, і скільки часу ви проводите на кожному сайті.
Ми протестували одне з цих розширень, що називається Autocopy Original, обманувши його на думку, що поведінка відстеження має бути ввімкненою, і ми змогли одразу побачити тонну даних, відправлених назад на їх сервери. У магазині Chrome було 73 таких розширення, а деякі - у магазині додатків Firefox. Їх легко ідентифікувати, оскільки всі вони від “wips.com” або “wips.com партнерів”.
Вам цікаво, чому нас турбує код відстеження, який ще навіть не ввімкнено? Оскільки на їхній сторінці опису не сказано жодного слова про код відстеження - він похований як прапорець на кожному з їх розширень. Тож люди встановлюють розширення, припускаючи, що вони від якісної компанії.
І лише питання часу, коли ввімкнути код відстеження.
Дослідження цієї жахливості розширення шпіонажу
Звичайна людина навіть не підозрює, що це шпигунство відбувається - вона не побачить запит до сервера, навіть не зможе повідомити, що це відбувається. Переважна більшість із цих мільйонів користувачів це ніяк не постраждає ... за винятком того, що їхні особисті дані були викрадені з-під них. То як ви самі це зрозумієте? Це називається Скрипаль .
Fiddler - це веб-інструмент налагодження, який діє як проксі-сервер та кешує всі запити, щоб ви могли бачити, що відбувається. Це інструмент, який ми використовували - якщо ви хочете дублювати копію вдома, просто встановіть одне з таких шпигунських розширень, як Hover Zoom, і ви почнете бачити два запити на сайти, подібні до t.searchelper.com та api28.webovernet.com для кожної сторінки, яку ви переглядаєте. Якщо ви позначите тег Inspectors, ви побачите купу закодованого тексту base64 ... насправді, він чомусь був закодований base64 двічі. (Якщо вам потрібен повний приклад тексту перед декодуванням, ми зберігаємо його у текстовому файлі тут).
Після того, як ви успішно розшифруєте цей текст, ви побачите, що саме відбувається. Вони повертають поточну сторінку, яку ви відвідуєте, разом із попередньою, та унікальний ідентифікатор, що ідентифікує вас, та деяку іншу інформацію. Дуже страшне в цьому прикладі полягає в тому, що я тоді був на моєму банківському сайті, який зашифрований за допомогою HTTPS. Правильно, ці розширення все ще відстежують вас на сайтах, які слід зашифрувати.
s = 1809 & md = 21 & pid = mi8PjvHcZYtjxAJ & sess = 23112540366128090 & sub = хром
& q = https% 3A // secure.bankofamerica.com / login /sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Ви можете запустити api28.webovernet.com та інший сайт у своєму браузері, щоб побачити, куди вони ведуть, але ми врятуємо вас у напрузі: вони насправді є переспрямуваннями для API для компанії, що називається Similar Web, яка є однією з багатьох компаній роблячи такий тип відстеження та продаючи дані, щоб інші компанії могли шпигувати за тим, що роблять їх конкуренти.
Якщо ви авантюрний тип, ви можете легко знайти той самий код відстеження, відкривши сторінку chrome: // extensions і натиснувши режим розробника, а потім “Перевірити перегляди: html / background.html” або подібний текст, що каже вам оглянути прибудову. Це дозволить вам побачити, що це розширення працює весь час у фоновому режимі.
Щойно ви натиснете, щоб перевірити, ви одразу побачите список вихідних файлів та всілякі інші речі, які, ймовірно, будуть для вас грецькими. У цьому випадку найважливішими є два файли з іменами tr_advanced.js та tr_simple.js. Вони містять код відстеження, і можна з упевненістю сказати, що якщо ви бачите ці файли всередині будь-якого розширення, вас підглядають або в якийсь момент підглянуть. Звичайно, деякі розширення містять інший код відстеження, тому те, що у вашого розширення їх немає, нічого не означає. Шахраї, як правило, хитрі.
Ви, напевно, помітите, що URL-адреса праворуч не зовсім збігається з попередньою. Фактичний вихідний код відстеження досить складний, і, схоже, кожне розширення має іншу URL-адресу для відстеження.
Запобігання автоматичному оновленню розширення (додатково)
Якщо у вас є розширення, яке ви знаєте і якому довіряєте, і ви вже переконалися, що воно не містить нічого поганого, ви можете переконатися, що розширення ніколи не таємно оновлює вас за допомогою шпигунського програмного забезпечення - але воно справді є ручним і, можливо, не тим ви захочете зробити.
Якщо ви все одно хочете це зробити, відкрийте панель «Розширення», знайдіть ідентифікатор розширення, а потім перейдіть до% localappdata% \ google \ chrome \ User Data \ default \ Extensions і знайдіть папку, що містить ваше розширення. Змініть рядок update_url у manifest.json, щоб замінити client2.google.com на localhost. Примітка: ми ще не змогли перевірити це за допомогою фактичного розширення, але воно повинно спрацювати.
Для Firefox процес набагато простіший. Перейдіть на екран Додатки, клацніть піктограму меню та зніміть прапорець біля пункту «Оновлювати надбудови автоматично».
То де це нас залишає?
Ми вже встановили, що набір розширень оновлюється, включаючи код відстеження / шпигунства, ін’єкційні оголошення та хто знає що ще. Їх продають неблагонадійним компаніям, або розробників купують із обіцянкою легких грошей.
Як тільки ви встановите надбудову, ви не зможете дізнатися, що вони не збираються включати шпигунські програми в дорогу. Все, що ми знаємо, - це те, що цим додатком займається багато доповнень та розширень.
Люди запитували у нас список, і, як ми вже розслідували, ми виявили стільки розширень, які роблять ці речі, ми не впевнені, що зможемо скласти повний список усіх. Ми додамо їх список до теми форуму, пов’язаної з цією статтею, щоб ми могли допомогти спільноті створити більший список.
Перегляньте повний список або надішліть нам свій відгук
