Попередження про розширення вашого веб-переглядача
Інтернет вибухнув у п'ятницю з новиною про те, що розширення Google Chrome продаються і вводяться з рекламою. Але мало відомий і набагато важливіший факт, що ваші розширення шпигують за вами і продають вашу історію перегляду тіньовим корпораціям. HTG розслідує.
Версія TL: DR:
- Додатки веб-переглядача для Chrome, Firefox і, можливо, інших веб-переглядачів відстежують кожну сторінку, яку ви відвідуєте, і відправляють ці дані до сторонньої компанії, яка платить за вашу інформацію.
- Деякі з цих додатків також вводять об’яви на сторінки, які ви відвідуєте, а Google спеціально дозволяє це зробити з певних причин, якщо це "чітко розкрито".
- Мільйони людей простежуються таким чином, і вони не мають поняття.
Чи ми офіційно називаємо це шпигунським програмним забезпеченням? Ну ... це не зовсім так просто. Вікіпедія визначає шпигунські програми як "Програмне забезпечення, яке допомагає збирати інформацію про особу або організацію без їхнього відома і яке може надіслати таку інформацію іншій особі без згоди споживача". Це не означає, що все програмне забезпечення, яке збирає дані, обов'язково є шпигунським, і це не означає, що все програмне забезпечення, яке відправляє дані на свої сервери, обов'язково є шпигунським програмним забезпеченням.
Але коли розробник розширення не хоче приховати той факт, що кожна сторінка, яку ви відвідуєте, зберігається і надсилається корпорації, яка платить їм за ці дані, хоч і ховає її в налаштуваннях як "анонімна статистика використання". це проблема, принаймні. Будь-який розумний користувач припускає, що якщо розробник хоче відстежувати статистику використання, вони будуть лише відстежувати використання самого розширення, але вірно протилежне. Більшість цих розширень відстежує все, що ви робите окрім з використанням розширення. Вони просто відстежують ти.
Це стає ще більш проблематичним, тому що вони називають це "анонімний статистику використання »; слово «анонімний» означає, що неможливо зрозуміти, кому належать дані, як якщо б вони очищали дані від усієї вашої інформації. Але вони не є. Так, звичайно, вони використовують анонімний маркер, щоб представляти вас, а не ваше повне ім'я чи електронну адресу, але кожна сторінка, яку ви відвідуєте, прив'язана до цього маркера. До тих пір, поки встановлено це розширення.
Відстежуйте історію відвідування будь-кого досить довго, і ви зможете зрозуміти, хто саме.
Скільки разів ви відкривали власну сторінку профілю Facebook або Pinterest, Google+ або іншу сторінку? Ви коли-небудь помічали, як URL містить ваше ім'я або щось, що ідентифікує вас? Навіть якщо ви ніколи не відвідували жодного з цих сайтів, можна з'ясувати, хто ви є.
Я не знаю про вас, але моя історія перегляду Шахта, і ніхто не повинен мати доступу до цього, крім мене. Існує причина, чому комп'ютери мають паролі, і всі старші за 5 років знають про видалення їх історії браузера. Що ви відвідуєте в Інтернеті дуже особисто, і ніхто не повинен мати список сторінок, які я відвідую, але мене, навіть якщо моє ім'я спеціально не пов'язане зі списком.
Я не юрист, але в політиці програми розробників Google для розширень Chrome спеціально сказано, що розробникові розширення не повинно бути дозволено публікувати будь-яку мою особисту інформацію:
Ми не дозволяємо несанкціоноване публікування особистої та конфіденційної інформації людей, наприклад, номерів кредитних карток, державних ідентифікаційних номерів, номерів драйверів та інших ліцензій або будь-якої іншої інформації, яка не є загальнодоступною.
Як саме моя історія веб-перегляду не є особистою інформацією? Це, безумовно, не є загальнодоступним!
Так, багато хто з цих розширень вставляють оголошення
Проблему посилює велика кількість розширень, які вводять оголошення в багато сторінок, які ви відвідуєте. Ці розширення просто розміщують свої об’яви там, де вони випадково обирають їх на сторінку, і вони повинні містити лише невеликий фрагмент тексту, що ідентифікує, звідки прийшло оголошення, яке більшість людей ігноруватиме, оскільки більшість людей навіть не подивіться на оголошення.
Всякий раз, коли ви маєте справу з оголошеннями, ви також матимете на увазі печиво. (Варто зазначити, що цей сайт підтримується рекламою, і рекламодавці розміщують файли cookie на вашому жорсткому диску, так само, як і всі сайти в Інтернеті.) Ми не вважаємо, що файли cookie є великою угодою, але якщо ви це зробите, вони досить легко мати справу.
Рекламні розширення фактично є меншою проблемою, якщо ви можете повірити в це, адже те, що вони роблять, є дуже очевидним для користувачів розширення, які можуть почати розгубленість і спробувати примусити розробника зупинитися. Ми, безумовно, бажаємо, щоб Google та Mozilla змінили свою смішну політику, щоб заборонити цю поведінку, але ми не можемо допомогти їм отримати здоровий глузд.
З іншого боку, відстеження здійснюється таємно, або, по суті, таємно, оскільки вони намагаються приховати те, що вони роблять у юридичній версії в описі розширень, і ніхто не прокручує до нижньої частини readme, щоб з'ясувати, чи є це розширення збирається відслідковувати людей.
Це шпигунство - це приховані за ліцензійними угодами та політикою конфіденційності
Ці розширення "дозволені" для участі в цій поведінці відстеження, оскільки вони "розкривають" їх на сторінці опису або в певній точці на панелі параметрів. Наприклад, розширення HoverZoom, яке має мільйон користувачів, на наступній сторінці опису:
Масштабування при наведенні використовується для анонімної статистики використання. Це можна вимкнути на сторінці параметрів, не втрачаючи при цьому жодних функцій. Залишивши цю функцію, користувач авторизує збір, передачу та використання анонімних даних про використання, включаючи, але не обмежуючись, передачу третім особам.
Де саме в цьому описі пояснюється, що вони збираються відстежувати кожну відвідувану сторінку та надсилати URL-адресу третій стороні, яка оплачує їх за ваш дані? Насправді, вони стверджують, що вони спонсоруються через партнерські посилання, повністю ігноруючи той факт, що вони шпигують за вами. Так, це вірно, вони також вводять оголошення по всьому місці. Але про що вам більше цікаво, оголошення, яке відображається на сторінці, або ж вони беруть всю історію веб-перегляду та надсилають її іншому?
Панель "Виправдання" наведення курсору мишіВони здатні піти з цим, тому що вони мають маленьку прапорець, похований на панелі параметрів, який говорить: "Увімкнути анонімну статистику використання", і ви можете вимкнути цю "функцію" - хоча варто зауважити, що вона перевіряється за замовчуванням для перевірки.
Це розширення мало довгу історію поганої поведінки, повертаючись досить давно. Нещодавно розробника було виявлено, що він збирає дані веб-перегляду у тому числі форма даних… але він також був спійманий в минулому році продажу даних про те, що ви набрали в іншій компанії. Тепер вони додають політику конфіденційності, яка ще більше пояснює, що відбувається, але якщо ви повинні прочитати політику конфіденційності, щоб зрозуміти, що вас шпигують, у вас є ще одна проблема.
Підсумовуючи, один мільйон людей підглядають за цим розширенням. І це просто один цих розширень - є багато іншого робити те ж саме.
Розширення можуть змінювати руки або оновлення без вашого знання
Це розширення вимагає занадто багато дозволів. Заперечувати!Існує абсолютно ніякий спосіб дізнатися, коли розширення було оновлено, щоб включати шпигунське програмне забезпечення, і оскільки багатьом типам розширень потрібні тонни дозволів, щоб навіть працювати належним чином, перш ніж вони перетворяться на рекламні шматки spycraft, тому ви виграли Коли з'явиться нова версія, не буде запропоновано.
Що ще гірше, багато хто з цих розширень змінили владу протягом останнього року - і будь-хто, хто коли-небудь писав розширення, був затоплений проханнями продати їх розширення тіньовим особам, які потім заразить вас оголошеннями або шпигують за вами. Оскільки розширення не потребують жодних нових дозволів, ви ніколи не матимете змоги з'ясувати, які з них додали секретне відстеження без вашого відома.
У майбутньому, звичайно, ви повинні або уникати встановлення розширень або додатків повністю, або бути дуже обережні, які саме ви встановлюєте. Якщо вони запитують дозволу на все на вашому комп'ютері, потрібно натиснути кнопку Скасувати і запустити.
Прихований код відстеження з перемикачем віддаленого включення
Насправді є інші розширення, які мають повний код відстеження, вбудований - але цей код зараз вимкнено. Ці розширення повертаються до сервера кожні 7 днів, щоб оновити їх конфігурацію. Ці налаштовані на відправлення ще більшої кількості даних - вони точно розраховують, скільки часу ви відкриваєте на кожній вкладці, і скільки часу ви витрачаєте на кожному сайті.
Ми перевірили одне з цих розширень під назвою Autocopy Original, обдуривши його, що поведінка відстеження повинна бути включена, і ми змогли відразу побачити тонну даних, надісланих на їх сервери. У магазині Chrome було 73 таких розширень, а деякі - у магазині додатків Firefox. Вони легко ідентифікуються, тому що всі вони від «wips.com» або «партнерів wips.com».
Цікаво, чому нас турбує код відстеження, який ще не ввімкнено? Оскільки їхня сторінка опису не говорить ні слова про код відстеження - вона похована як прапорець на кожному з їхніх розширень. Тому люди встановлюють розширення, вважаючи, що вони є якісними компаніями.
І це лише питання часу, коли цей код відстеження буде ввімкнено.
Дослідження цієї шпигунської розширення Awfulness
Середня людина ніколи навіть не дізнається, що це шпигунство відбувається - вони не побачать запит на сервер, вони навіть не зможуть сказати, що це відбувається. Переважна більшість цих мільйонів користувачів ніяк не постраждає ... крім того, що їхні особисті дані були викрадені з-під них. Отже, як ви зрозуміли це для себе? Це називається Fiddler.
Fiddler - це інструмент для налагодження в Інтернеті, який діє як проксі-сервер і кешує всі запити, щоб ви могли бачити, що відбувається. Це інструмент, який ми використовували - якщо ви хочете дублювати вдома, просто встановіть один із цих розширень, як Hover Zoom, і ви побачите два запити на сайти, подібні до t.searchelper.com і api28.webovernet.com для кожної сторінки, яку ви переглядаєте. Якщо ви перевіряєте теги інспекторів, ви побачите купу тексту, закодованого base64… насправді, це було кодується base64 двічі з якоїсь причини. (Якщо ви хочете отримати повний текст прикладу перед декодуванням, ми зберегли його в текстовому файлі).
Вони відстежуватимуть будь-який сайт, який ви відвідуєте, навіть HTTPSЯк тільки ви успішно декодували цей текст, ви побачите, що саме відбувається. Вони надсилають назад поточну сторінку, яку ви відвідуєте, разом із попередньою сторінкою, а також унікальний ідентифікатор, щоб ідентифікувати вас, а також деяку іншу інформацію. Дуже страшно в цьому прикладі, що я був на своєму банківському сайті в той час, який SSL зашифрований за допомогою HTTPS. Правильно, ці розширення продовжують відстежувати вас на сайтах, які мають бути зашифровані.
s = 1809 & md = 21 &pid = mi8PjvHcZYtjxAJ& sess = 23112540366128090 & sub = chrome
& q =https% 3A // secure.bankofamerica.com / login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A/ /secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Ви можете скинути api28.webovernet.com та інший сайт у ваш браузер, щоб побачити, де вони ведуть, але ми збережемо вас від неспокою: вони насправді перенаправляють API для компанії, що називається Similar Web, яка є однією з багатьох компаній роблячи цей вид відстеження, і продаючи дані, так інші компанії можуть шпигувати за тим, що роблять їхні конкуренти.
Якщо ви - авантюристичний тип, ви можете легко знайти цей той же код відстеження, відкривши сторінку розширень chrome: // і натиснувши на режим розробника, а потім "Перевірити види: html / background.html" або подібний текст, повідомляє про перевірку розширення. Це дозволить вам побачити, що це розширення працює весь час у фоновому режимі.
Цей значок кошика є вашим другомПісля натискання, щоб перевірити, ви негайно побачите список вихідних файлів і всілякі інші речі, які, ймовірно, будуть грецькими для вас. Важливими в цьому випадку є два файли з іменем tr_advanced.js і tr_simple.js. Вони містять код відстеження, і можна з упевненістю сказати, що якщо ви бачите ці файли всередині будь-якого розширення, вас буде шпигувати, або ви побачите певний час. Звичайно, деякі розширення містять інший код відстеження, тому тільки тому, що розширення не має цих кодів, це не означає нічого. Шахраї мають тенденцію бути хитрими.
(Зауважте, що ми перенесли вихідний код у вікно)Ви, напевно, помітите, що URL-адреса з правого боку не зовсім така, як раніше. Справжній вихідний код відстеження досить складний, і здається, що кожне розширення має іншу URL-адресу відстеження.
Запобігання автоматичному розширенню розширення (додатково)
Якщо у вас є розширення, яке ви знаєте і довіряєте, і ви вже перевірили, що він не містить нічого поганого, ви можете переконатися, що розширення ніколи не таємно оновлюватиме вас шпигунським програмним забезпеченням - але це дійсно посібник і, ймовірно, не Ви захочете це зробити.
Якщо ви все ще захочете це зробити, відкрийте панель розширень, знайдіть ідентифікатор розширення, а потім перейдіть до% localappdata% google chrome - дані користувача - розширення та знайдіть папку, яка містить ваше розширення. Змініть рядок update_url в manifest.json, щоб замінити clients2.google.com на localhost. Примітка: ми ще не змогли перевірити це з фактичним розширенням, але це має спрацювати.
Для Firefox цей процес набагато простіший. Перейдіть до екрана Додатки, натисніть піктограму меню та зніміть прапорець "Оновити додатки автоматично".
Так де це залишає нас?
Ми вже встановили, що оновлення наборів розширень включають код відстеження / шпигунства, ін'єкційні об’яви та хто ще знає. Вони продаються ненадійним компаніям, або розробники купуються з обіцянками легких грошей.
Після встановлення додаткового модуля не існує способу дізнатися, що вони не будуть включати в себе шпигунські програми. Ми знаємо лише, що існує багато доповнень і розширень, які роблять ці речі.
Люди запитували нас за списком, і, як ми розслідували, ми знайшли стільки розширень, що роблять ці речі, ми не впевнені, що ми можемо скласти повний перелік усіх з них. Ми додамо їх до теми форуму, пов'язаної з цією статтею, щоб ми могли допомогти спільноті створити більший список.
Переглянути повний список або надішліть нам свої відгуки