Upozornenie: Rozšírenia prehliadača vás špehujú

2024 Autor: Geoffrey Carr | [email protected]. Naposledy zmenené: 2023-12-17 10:59

Internet v piatok vybuchol s informáciou, že rozšírenia Google Chrome sa predávajú a podliehajú adware. Ale málo známym a oveľa dôležitejším faktom je, že vaše rozšírenia vás špehujú a predávajú vašu históriu prehliadania do tieňových korporácií. HTG vyšetruje.

TL, DR verzia:

Doplnky prehliadača pre prehliadače Chrome, Firefox a pravdepodobne iné prehliadače sledujú každú stránku, ktorú navštívite, a odosielajú tieto údaje späť spoločnosti tretej strany, ktorá ich vypláca za informácie.
Niektoré z týchto doplnkov tiež vkladajú reklamy na stránky, ktoré navštívite, a spoločnosť Google to výslovne povoľuje z nejakého dôvodu, ak je "jasne zverejnené".
milióny ľudí je sledované týmto spôsobom a nemajú tušenie.

Oficiálne ho nazývame spyware? No … to nie je tak jednoduché. Wikipedia definuje spyware ako "Softvér, ktorý pomáha zhromažďovať informácie o osobe alebo organizácii bez ich vedomia a ktorý môže odoslať takéto informácie inému subjektu bez súhlasu spotrebiteľa".To neznamená, že všetok softvér, ktorý zhromažďuje údaje, je nevyhnutne spyware a neznamená to, že všetok softvér, ktorý odosiela dáta späť na ich servery, je nevyhnutne spyware.

Keď však vývojár rozšírenia stratí svoju skrytosť, skrýva skutočnosť, že každá stránka, ktorú navštívite, je uložená a odoslaná spoločnosti, ktorá jej zaplatí za tieto údaje a zároveň ju pochová v nastaveniach ako "anonymné štatistiky používania" je problém, aspoň. Každý rozumný používateľ by predpokladal, že ak chce vývojár sledovať štatistiky používania, budú len sledovať používanie samotného rozšírenia - ale opak je pravdou. Väčšina týchto rozšírení sleduje všetko, čo robíteokrem pomocou rozšírenia. Sú to len sledovanievy.

To sa stáva ešte problematickejšie, pretože to nazývajú "anonymný štatistiky používania "; slovo "anonymné" znamená, že by bolo nemožné zistiť, kto patrí daným údajom, ako keby čisté údaje boli čisté zo všetkých vašich informácií. Ale nie sú. Áno, určite používajú anonymný token, ktorý vás reprezentuje skôr než vaše celé meno alebo e-mail, ale každá navštívená stránka je viazaná na token. Pokiaľ máte toto rozšírenie nainštalované.

Sledujte históriu prehliadania kohokoľvek dosť dlho a môžete presne zistiť, kto sú.

Koľkokrát ste otvorili svoju vlastnú profilovú stránku na Facebooku alebo vašu stránku Pinterest, Google+ alebo inú stránku? Všimli ste si niekedy, ako adresa URL obsahuje vaše meno alebo niečo, čo vás identifikuje? Dokonca aj keď ste nikdy navštívili niektoré z týchto miest, zistiť, kto ste, je možné.

Neviem o vás, ale moja história prehliadania jebaňa,a nikto by nemal mať prístup k tomu, ale voči mne. Existuje dôvod, prečo počítače majú heslá a každý, kto je starší ako 5, vie o tom, ako vymazať históriu prehliadača. Čo navštevujete na internete je veľmi osobné a nikto by nemal mať zoznam stránok, ktoré navštevujem, ale ja, aj keď moje meno nie je výslovne spojené so zoznamom.

Nie som právnik, ale Pravidlá programu Google pre vývojárov pre rozšírenia prehliadača Chrome výslovne hovoria, že vývojár rozšírenia by nemal mať povolené zverejňovať niektoré z mojich osobných údajov:


We don’t allow unauthorized publishing of people’s private and confidential information, such as credit card numbers, government identification numbers, driver’s and other license numbers, or any other information that is not publicly accessible.

Presne ako moja história prehliadania nie je osobnými informáciami? Určite nie je verejne prístupný!

Áno, mnohé z týchto rozšírení tiež obsahujú reklamy

Problém je sprevádzaný veľkým počtom rozšírení, ktoré vkladajú reklamy do mnohých navštívených stránok. Tieto rozšírenia iba umiestňujú svoje reklamy všade, kde sa náhodne rozhodnú umiestniť ich na stránku, a od nich sa požaduje, aby obsahovali iba malý text, ktorý identifikoval, odkiaľ reklama pochádza, čo väčšina ľudí ignoruje, pretože väčšina ľudí ani Pozrite sa na reklamy.

Kedykoľvek budete pracovať s reklamami, budú tiež zahrnuté cookies. (Stojí za zmienku, že táto stránka je podporovaná reklamami a inzerenti umiestňujú súbory cookie na pevný disk, rovnako ako každá internetová stránka.) Nemyslím si, že cookies sú obrovské riešenie, ale ak to urobíte, sú pekné ľahko sa vyrovnať.

Adware rozšírenia sú skutočne menej problémom, ak tomu môžeme veriť, pretože to, čo robia, je pre užívateľov rozšírenia veľmi zrejmé, kto potom môže začať rozruch a pokúsi sa zastaviť vývojára. Určite si želáme, aby spoločnosť Google a Mozilla zmenili svoje smiešne pravidlá, aby zakázali toto správanie, ale nemôžeme im pomôcť získať zdravý rozum.

Sledovanie na druhej strane sa vykonáva tajne alebo je v podstate tajné, pretože sa pokúšajú skryť to, čo robia v legalese v popise rozšírenia, a nikto sa nepohne na dno readme, aby zistilo, či je toto rozšírenie bude sledovať ľudí.

Toto šifrovanie je skryté za zmluvnými podmienkami EULA a politikami ochrany osobných údajov

Tieto rozšírenia sú "povolené", aby sa zapojili do tohto správania sledovania, pretože ho "zverejnia" na svojej stránke s popisom alebo na nejakom mieste v paneli možností. Napríklad rozšírenie HoverZoom, ktoré má milión používateľov, hovorí na svojej stránke s opisom na nasledujúcom konci:


Hover Zoom uses anonymous usage statistics. This can be disabled in the options page without losing any features as well. By leaving this feature enabled, the user authorize the collection, transfer and use of anonymous usage data, including but not limited to transferring to third parties.

Kde presne v tomto opise vysvetľuje, že budú sledovať každú stránku, ktorú navštívite, a zašlite webovú adresu späť tretej strane, ktorá ju zaplatítvoj Dáta? V skutočnosti tvrdia všade, že sú sponzorované prostredníctvom partnerských odkazov, pričom úplne ignorujú skutočnosť, že vás špehujú. Áno, to je pravda, sú tiež injekčné reklamy všade. Ale o ktoré sa zaujímate viac, reklama sa zobrazuje na stránke, alebo ich celá história prehliadania a odoslanie späť k niekomu inému?

Dokážu sa s tým dostať, pretože majú malý malý zaškrtávací box umiestnený v paneli možností, ktorý hovorí "Povoliť anonymné štatistiky používania", a túto "funkciu" môžete deaktivovať - aj keď stojí za zmienku, že je predvolené, aby bolo možné skontrolovať.

Toto konkrétne rozšírenie malo dlhú históriu zlého správania a vrátilo sa dosť času. Vývojár bol nedávno chytený zhromažďovaním údajov prehliadania počítajúc do toho formulovať údaje … ale bol minulý rok aj chytený predaj dát o tom, čo ste zadali do inej spoločnosti. Pridali sa pravidlá ochrany osobných údajov, ktoré v ďalšej hĺbke vysvetľujú, čo sa deje, ale ak budete musieť prečítať politiku ochrany osobných údajov, aby ste zistili, že ste boli špehovaní, máte ďalší problém.

Na záver, milión ľudí je špekulovaný iba týmto rozšírením. A to je jednoduchojedenz týchto rozšírení - oveľa viac robí to isté.

Rozšírenia môžu zmeniť ruky alebo aktualizovať bez vašich vedomostí

Aby ste to ešte zhoršili, mnohé z týchto rozšírení sa zmenili za posledný rok - a ktokoľvek, kto kedy napísal rozšírenie, je zaplavený žiadosťou o predaj rozšírenia o tieňované osoby, ktoré vás potom nakazia reklamami alebo vás špionážne. Keďže rozšírenia nevyžadujú žiadne nové povolenia, nikdy nemáte príležitosť zistiť, ktoré z nich pridali tajné sledovanie bez vášho vedomia.

V budúcnosti by ste sa mali, samozrejme, buď vyhnúť inštalácii rozšírení alebo doplnkov úplne, alebo byťveľmi Dajte pozor, ktoré z nich inštalujete. Ak žiadajú o povolenie na všetko, čo je v počítači, mali by ste kliknúť na tlačidlo Zrušiť a spustiť.

Skrytý kód sledovania s prepínačom vzdialeného povolenia

Existujú ďalšie rozšírenia, v skutočnosti tona z nich, ktoré majú kompletný kód sledovania postavený priamo v - ale tento kód je momentálne zakázaný. Tieto rozšírenia ping späť na server každých 7 dní aktualizovať ich konfiguráciu. Tieto sú nakonfigurované tak, aby odosielali ešte viac dát späť - vypočítajú presne, ako dlho máte otvorenú každú kartu a ako dlho strávite na každej stránke.

Testovali sme jedno z týchto rozšírení, nazývané Autocopy Original, tým, že sme ho napadli, aby sme si mysleli, že sledovanie správania malo byť povolené a mohli sme okamžite vidieť tónu dát odoslaných späť na ich servery. V obchode Chrome bolo k dispozícii 73 rozšírení a niektoré v obchode doplnkov pre zariadenia Firefox. Sú ľahko identifikovateľné, pretože sú všetci z "wips.com" alebo "partnerov wips.com".

Zaujíma vás, prečo sa obávame o kód sledovania, ktorý ešte nie je povolený? Pretože ich popisná stránka nehovorí o slove o sledovacom kóde - je pochovaný ako začiarkavacie políčko na každom z ich rozšírení. Takže ľudia inštalujú rozšírenia za predpokladu, že sú z kvalitnej spoločnosti.

A je len otázkou času, kedy je tento kód sledovania povolený.

Vyšetrovanie tohto rozšírenia špionáže

Priemerný človek nikdy nebude vedieť, že toto špehovanie sa deje - oni nebudú vidieť požiadavku na server, nebudú mať ani spôsob, ako povedať, že sa to deje. Prevažná väčšina týchto miliónov používateľov nebude nijakým spôsobom ovplyvnená … okrem toho, že ich osobné údaje boli odcudzené. Takže, ako si to príde na seba? Nazýva sa to Fiddler.

Fiddler je nástroj na ladenie na webe, ktorý funguje ako proxy a ukladá všetky požiadavky, takže môžete vidieť, čo sa deje. Toto je nástroj, ktorý sme použili - ak chcete duplikovať doma, jednoducho nainštalujte jednu z týchto rozšírení na vyhľadávanie, ako je Hover Zoom, a začnete zobrazovať dve žiadosti na stránky podobné t.searchelper.com a api28.webovernet.com pre každú jednotlivú zobrazenú stránku. Ak skontrolujete značku Inspectors, uvidíte banda textu kódovaného base64 … v skutočnosti je z nejakého dôvodu dvakrát kódovaný base64. (Ak chcete pred dekódovaním celý príklad textu, tu sme ho uložili do textového súboru).

Akonáhle ste úspešne dekódovali tento text, uvidíte presne to, čo sa deje. Posielajú späť aktuálnu stránku, ktorú navštívite spolu s predchádzajúcou stranou a jedinečný identifikátor, ktorý vás identifikuje a niektoré ďalšie informácie. Veľmi hrozná vec týkajúca sa tohto príkladu je to, že som bol v tom čase na mojom bankovom serveri, ktorý je šifrovaný SSL pomocou HTTPS. Správne, tieto rozšírenia vás stále sledujú na stránkach, ktoré by mali byť šifrované.


s=1809&md=21& pid=mi8PjvHcZYtjxAJ&sess=23112540366128090&sub=chrome &q= https%3A//secure.bankofamerica.com/login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go

Môžete prepadnúť api28.webovernet.com a ostatné stránky do vášho prehliadača, aby ste zistili, kde vedú, ale my vám ušetríme napätie: v skutočnosti sú presmerované na API pre spoločnosť s názvom Similar Web, ktorá je jednou z mnohých spoločností robiť tento druh sledovania a predávať údaje, takže iné spoločnosti môžu skontrolovať, čo robia ich konkurenti.

Ak ste dobrodružný typ, môžete ľahko nájsť rovnaký kód sledovania tak, že otvoríte svoju stránku chrome: // extensions a kliknete na režim vývojára a potom na položku "Inspect views: html / background.html" alebo podobný text, ktorý vám umožní prezrieť rozšírenie. To vám umožní zistiť, čo toto rozšírenie beží po celú dobu v pozadí.

Akonáhle kliknete na kontrolu, okamžite uvidíte zoznam zdrojových súborov a najrôznejšie veci, ktoré pravdepodobne budú pre vás pravé.Dôležité veci v tomto prípade sú dva súbory s názvom tr advanced.js a tr simple.js. Tieto obsahujú kód sledovania a je bezpečné povedať, že ak sa tieto súbory nachádzajú v rámci ľubovoľného rozšírenia, ste v určitom čase skontrolovaní alebo budete skontrolovaní. Niektoré rozšírenia obsahujú iný kód sledovania, samozrejme, takže len preto, že vaše rozšírenie ich nemá, to nič neznamená. Podvodníci majú tendenciu byť zložité.

Pravdepodobne si všimnete, že adresa URL na pravej strane nie je úplne rovnaká ako predtým. Skutočný zdrojový kód sledovania je dosť komplikovaný a zdá sa, že každé rozšírenie má inú sledovaciu webovú adresu.

Zabránenie automatickému aktualizovaniu rozšírenia (rozšírené)

Ak máte rozšírenie, o ktorom viete, že máte dôveru, a už ste si overili, že neobsahuje nič zlé, môžete sa uistiť, že rozšírenie sa nikdy tajne neobnovuje o vás so spywarom - ale je to naozaj manuálne a pravdepodobne nie to, čo budete chcieť urobiť.

Ak to chcete urobiť, otvorte panel Extensions, vyhľadajte ID rozšírenia a potom prejdite na% localappdata% google chrome User Data default Extensions a nájdite priečinok obsahujúci vaše rozšírenie. Zmeňte riadok update_url v manifest.json, aby ste nahradili clients2.google.com s localhost.Poznámka:nepodarilo sa nám toto skontrolovať ešte so skutočným rozšírením, ale malo by to fungovať.

Pre Firefox je proces oveľa jednoduchší. Prejdite na obrazovku doplnkov, kliknite na ikonu ponuky a zrušte začiarknutie možnosti "Aktualizovať doplnky automaticky".

Takže kde nás to necháva?

Už sme zistili, že množstvo rozšírení sa aktualizuje tak, aby zahŕňalo kód sledovania / špehovania, injekčné reklamy a kto vie čo ďalej. Predávajú sa nedôveryhodným spoločnostiam alebo sa kúpia s dôveryhodnými peniazmi.

Akonáhle máte nainštalovaný doplnok, neexistuje žiadny spôsob, ako vedieť, že nebudú obsahovať spyware po ceste. Všetko, čo vieme, je, že existuje veľa doplnkov a rozšírení, ktoré robia tieto veci.

Ľudia nás žiadali o zoznam a ako sme vyšetrovali, našli sme toľko rozšírení, ktoré robia tieto veci, nie sme si istí, že môžeme vytvoriť kompletný zoznam všetkých z nich. Zoznam ich pridáme do témy fóra súvisiacej s týmto článkom, takže komunitu môžeme pomôcť vytvoriť väčší zoznam.

Pozrite si úplný zoznam alebo nám dajte spätnú väzbu