אזהרה הרחבות דפדפן שלך הם ריגול עלייך
האינטרנט התפוצץ ביום שישי עם הידיעה כי תוספים של Google Chrome נמכרים ומוזרקים עם תוכנות פרסום. אבל עובדה ידועה הרבה יותר חשוב כי התוספים שלך הם ריגול עלייך ולמכור את היסטוריית הגלישה שלך לתאגידים מפוקפקים. HTG חוקר.
TL; גרסת DR:
- תוספים לדפדפן עבור Chrome, Firefox, וכנראה גם דפדפנים אחרים, עוקבים אחר כל דף בודד שבו אתה מבקר ושולחים נתונים אלה בחזרה לחברה של צד שלישי שמשלמת אותם עבור המידע שלך.
- חלק מהתוספות האלו גם מזריזות מודעות לדפים שבהם אתה מבקר, ו- Google במיוחד מאפשרת זאת מסיבה כלשהי כל עוד היא "נחשפת בבירור".
- מיליונים של אנשים נמצאים במעקב בדרך זו ואין להם מושג.
האם אנו קוראים לזה באופן רשמי תוכנות ריגול? טוב ... זה לא ממש פשוט. ויקיפדיה מגדיר תוכנות ריגול "תוכנה המסייעת באיסוף מידע על אדם או ארגון ללא ידיעתם ואשר עשויה לשלוח מידע כאמור לישות אחרת ללא הסכמת הצרכן". זה לא אומר שכל תוכנה שאוספת נתונים היא בהכרח תוכנות ריגול, וזה לא אומר שכל תוכנה ששולחת נתונים בחזרה לשרתים שלהם היא בהכרח תוכנות ריגול.
אבל כאשר היזם של הארכה יוצא מגדרם כדי להסתיר את העובדה כי כל דף שאתה מבקר מאוחסן ונשלח לתאגיד שמשלם להם עבור אותם נתונים תוך קבור אותו בהגדרות כמו "סטטיסטיקות שימוש אנונימי", שם היא לפחות בעיה. כל משתמש סביר היה מניח שאם מפתח רוצה לעקוב אחר סטטיסטיקות שימוש, הוא רק עוקב אחר השימוש בתוסף עצמו - אבל ההפך הוא הנכון. רוב הרחבות אלה הם מעקב אחר כל דבר אחר שאתה עושה מלבד באמצעות ההרחבה. הם רק מעקב אתה.
זה הופך להיות אפילו יותר בעייתי כי הם קוראים לזה "בעילום שם סטטיסטיקות שימוש "; המילה "אנונימי" מרמזת כי זה יהיה בלתי אפשרי להבין מי הנתונים שייך, כאילו הם משפשפים את הנתונים נקיים של כל המידע שלך. אבל הם לא. כן, בטח, הם משתמשים באסימון אנונימי כדי לייצג אותך במקום את שמך המלא או את כתובת האימייל, אך כל דף שאתה מבקר קשור לאותו אסימון. כל עוד יש לך את התוסף מותקן.
עקוב אחר כל היסטוריית הגלישה של מישהו מספיק זמן, ואתה יכול להבין בדיוק מי הם.
כמה פעמים פתחת את דף הפרופיל שלך בפייסבוק, או את Pinterest, Google+ או דף אחר? האם שמעת פעם איך כתובת האתר מכילה את שמך או משהו שמזהה אותך? גם אם מעולם לא ביקרת בכל האתרים האלה, להבין מי אתה אפשרי.
אני לא יודע עליך, אבל היסטוריית הגלישה שלי שלי, ולאף אחד אין גישה לזה חוץ ממני. יש סיבה למחשבים יש סיסמאות וכולם מעל גיל 5 יודעים על מחיקת היסטוריית הדפדפן שלהם. מה שאתה מבקר באינטרנט הוא מאוד אישי, ואף אחד לא צריך את רשימת הדפים שאני מבקר אבל אני, גם אם השם שלי לא קשור באופן ספציפי עם הרשימה.
אני לא עורך דין, אך תקנון תוכנית המפתחים של Google עבור תוספים של Chrome מציין במפורש שמפתח תוסף אינו רשאי לפרסם את הפרטים האישיים שלי:
אנו לא מאפשרים פרסום לא מורשה של מידע אישי וסודי של אנשים, כגון מספרי כרטיסי אשראי, מספרי זיהוי ממשלתיים, מספרי רשיון נהיגה ורשיונות אחרים, או כל מידע אחר שאינו נגיש לציבור.
איך בדיוק היסטוריית הגלישה שלי אינה מידע אישי? זה בהחלט לא נגיש לציבור!
כן, רבים מתוספים אלה הוסף מודעות מדי
הבעיה היא מורכבת על ידי מספר רב של הרחבות כי הם הזרקת מודעות לתוך רבים של הדפים שבהם אתה מבקר. תוספים אלה פשוט מציבים את המודעות שלהם בכל מקום שבו הם בוחרים באופן אקראי להציב אותם בדף, והם נדרשים לכלול רק קטע זעיר של טקסט המזהה מהיכן הגיעה המודעה, אשר רוב האנשים יתעלמו ממנה, מכיוון שרוב האנשים אפילו לא להסתכל על מודעות.
בכל פעם שאתה מתעסק עם מודעות, יש גם הולך להיות עוגיות המעורבים. (כדאי לציין שהאתר הזה נתמך על ידי מודעות, והמפרסמים מציבים קובצי cookie בכונן הקשיח, בדיוק כמו כל אתר באינטרנט). אנחנו לא חושבים שקוקיס הוא עסק ענק, אבל אם כן, הם יפים קל להתמודד עם.
הרחבות פרסום הם למעשה פחות בעיה, אם אתה יכול להאמין, כי מה שהם עושים הוא מאוד ברור למשתמשים של ההרחבה, מי יכול אז להתחיל מהומה על זה ולנסות להשיג את היזם להפסיק. אנו בהחלט רוצים שגוגל ומוזילה ישנו את המדיניות המגוחכת שלהם כדי לאסור על התנהגות זו, אך איננו יכולים לעזור להם לקבל השכל הישר.
המעקב, לעומת זאת, נעשה בסתר, או שהוא סודי, כי הם מנסים להסתיר מה הם עושים ב legalese בתיאור של הרחבות, ואף אחד לא מגלגלים לתחתית readme כדי להבין אם הרחבה זה הולך לעקוב אחר אנשים.
ריגול זה מוסתר מאחורי EULAs מדיניות פרטיות
תוספים אלה הם "מורשים" לעסוק בהתנהגות מעקב זו מפני שהם "חושפים" אותה בדף התיאור שלהם, או בשלב כלשהו בחלונית האפשרויות שלהם. לדוגמה, תוסף HoverZoom, שבו יש מיליון משתמשים, אומר את הדברים הבאים בדף התיאור שלהם, בתחתית:
העבר זום משתמש בנתוני שימוש אנונימיים. זה יכול להיות מושבת בדף אפשרויות מבלי לאבד את כל התכונות גם כן. על ידי השארת תכונה זו מאופשרת, המשתמש מאשר את איסוף, העברה ושימוש בנתוני שימוש אנונימיים, כולל אך לא מוגבל להעברה לצדדים שלישיים.
איפה בדיוק בתיאור זה זה מסביר כי הם הולכים לעקוב אחר כל דף שאתה מבקר ולשלוח את כתובת האתר חזרה צד שלישי, אשר משלם אותם עבור me נתונים? למעשה, הם טוענים בכל מקום שהם ממומנים באמצעות קישורים שותפים, תוך התעלמות מוחלטת את העובדה שהם ריגול עלייך. כן, זה נכון, הם גם מזריקים מודעות בכל מקום. אבל לאיזה עניין יש לך, מודעה שמופיעה בדף או שהם לוקחים את כל היסטוריית הגלישה שלך ושולחים אותה למישהו אחר?
העבר את לוח התירוץ של 'זום'הם יכולים לברוח עם זה כי יש להם תיבת סימון קטנה קבור בלוח האפשרויות שלהם אומר "הפעל סטטיסטיקות שימוש אנונימי", ואתה יכול להשבית את "תכונה" - אם כי ראוי לציין כי ברירת המחדל היא מסומנת.
זה הרחבה מסוימת יש היסטוריה ארוכה של התנהגות רעה, חוזר די הרבה זמן. היזם נתפס לאחרונה איסוף נתוני הגלישה כולל נתוני טופס ... אבל הוא נתפס גם בשנה שעברה למכור נתונים על מה שהקלדת לחברה אחרת. הם הוסיפו עכשיו מדיניות פרטיות שמסבירה לעומק נוסף מה קורה, אבל אם אתה צריך לקרוא את מדיניות הפרטיות כדי להבין שאתה ריגול על, יש לך בעיה נוספת.
לסיכום, מיליון אנשים נמצאים בריגול על ידי הרחבה זו לבד. וזה פשוט אחד של הרחבות אלה - יש הרבה יותר עושה את אותו הדבר.
הרחבות יכולות לשנות ידיים או לעדכן ללא ידיעתך
תוסף זה מבקש הרשאות רבות מדי. דחה!אין שום דרך לדעת מתי הרחבה עודכנה כדי לכלול תוכנות ריגול, ומאחר סוגים רבים של הרחבות צריך טון של הרשאות אפילו לפעול כראוי מלכתחילה לפני שהם הופכים הזרקת המודעה חתיכות של ספייקראפט, אז זכית 'לא תתבקש כאשר הגרסה החדשה יוצאת.
כדי להחמיר את המצב, רבים של הרחבות אלה השתנו ידיים בשנה האחרונה - וכל מי שיש לו אי פעם כתב הרחבה הוא מוצף בבקשות למכור את הארכה שלהם לאנשים מפוקפקים, אשר לאחר מכן להדביק אותך עם מודעות או לרגל לך. מאז הרחבות אינן דורשות כל הרשאות חדשות, לעולם לא תהיה לך הזדמנות ללכת ולברר אילו הוסיף המעקב הסודי ללא ידיעתך.
בעתיד, כמובן, אתה צריך גם להימנע התקנת הרחבות או addons לחלוטין, או להיות מאוד זהיר לגבי אילו אתה מותקן. אם הם מבקשים הרשאות לכל דבר במחשב שלך, עליך ללחוץ על לחצן ביטול ולהפעיל.
קוד מעקב מוסתרת עם מתג הפעלה מרחוק
יש תוספים אחרים, למעשה, טון מהם, שיש להם קוד מעקב מלא שנבנה ממש ב - אבל קוד זה מושבת כרגע. הרחבות אלה פינג בחזרה לשרת כל 7 ימים כדי לעדכן את התצורה שלהם. אלה מוגדרים לשלוח נתונים נוספים עוד יותר - הם מחשבים בדיוק כמה זמן יש לך כל כרטיסייה פתוחה, וכמה זמן אתה מבלה בכל אתר.
בדקנו אחד מהרחבות אלה, הנקרא Autocopy Original, על-ידי הטעיה וחשבנו שהתנהגות המעקב אמורה להיות מופעלת, והצלחנו לראות מיד טון של נתונים שנשלחו בחזרה לשרתים שלהם. היו 73 תוספים אלה ב- Chrome Store וחלקם בחנות הרחבות Firefox. הם ניתנים לזיהוי בקלות משום שהם כולם מ "wips.com" או "wips.com שותפים".
תוהה למה אנחנו מודאגים לגבי מעקב אחר קוד כי הוא אפילו לא מופעל עדיין? מכיוון שדף התיאור שלהם אינו אומר מילה על קוד המעקב - הוא קבור כתיבת סימון בכל אחד מהתוספים שלו. אז אנשים מתקינים את ההרחבות בהנחה שהם מחברה איכותית.
וזה רק עניין של זמן עד קוד מעקב זה מופעל.
לחקור את זה
האדם הממוצע לא הולך אי פעם לדעת כי זה ריגול קורה - הם לא יראו בקשה לשרת, הם אפילו לא תהיה דרך לספר שזה קורה. הרוב המכריע של אותם מיליון משתמשים לא יושפעו בשום אופן ... פרט לכך שהנתונים האישיים שלהם נגנבו מתחת להם. אז איך אתה להבין את זה בעצמך? זה נקרא כנר.
כנר הוא כלי איתור באגים באינטרנט שפועל בתור proxy ומטמון את כל הבקשות, כך שתוכל לראות מה קורה. זהו הכלי שבו השתמשנו - אם אתה רוצה לשכפל בבית, פשוט להתקין אחד הרחבות אלה ריגול כמו זום לרחף, ואתה תתחיל לראות שתי בקשות לאתרים דומים t.searchelper.com ו api28.webovernet.com עבור כל דף יחיד שאתה מציג. אם תבדוק את התג מפקחים תראה חבורה של טקסט מקודד Base64 ... למעשה, זה היה base64 מקודד פעמיים מסיבה כלשהי. (אם אתה רוצה את הטקסט מלא טקסט לפני פענוח, אנחנו stashed אותו בקובץ טקסט כאן).
הם יעקבו אחר כל אתר שבו אתה מבקר, אפילו אלה של HTTPSלאחר שתצליח לפענח את הטקסט, תראה בדיוק מה קורה. הם שולחים בחזרה את הדף הנוכחי שבו אתה מבקר, יחד עם הדף הקודם, ומזהה ייחודי לזהות אותך, ומידע נוסף. הדבר המפחיד מאוד לגבי הדוגמה הזו היא שאני הייתי באתר הבנקאות שלי באותו זמן, שהוא SSL מוצפן באמצעות HTTPS. נכון, תוספים אלה עדיין עוקבים אחריך באתרים שיש להצפין אותם.
s = 1809 & md = 21 &pid = mi8PjvHcZYtjxAJ& sess = 23112540366128090 & sub = chrome
q =https: 3A // secure.bankofamerica.com / התחברות/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A/ /secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
אתה יכול להוריד api28.webovernet.com ואת האתר השני לתוך הדפדפן שלך כדי לראות לאן הם מובילים, אבל נשמור לך את המתח: הם למעשה הפניות עבור API עבור חברה בשם אינטרנט דומה, שהוא אחד של חברות רבות עושה את זה סוג של מעקב, ומכירת הנתונים כך חברות אחרות יכול לרגל על מה המתחרים שלהם עושים.
אם אתה טיפוס הרפתקני, תוכל למצוא בקלות את אותו קוד מעקב על ידי פתיחת דף התוספים של chrome: // ולחיצה על מצב המפתח, ולאחר מכן על 'בדוק תצוגות: html / background.html' או על טקסט דומה אומר לך לבדוק את ההרחבה. זה הולך לתת לך לראות מה הרחבה זה פועל כל הזמן ברקע.
סמל האשפה הזה הוא החבר שלךברגע שאתה לוחץ כדי לבדוק, תוכל מיד לראות רשימה של קבצי המקור וכל מיני דברים אחרים, כי יהיה כנראה יוונית לך. הדברים החשובים במקרה זה הם שני קבצים בשם tr_advanced.js ו tr_simple.js. אלה מכילים את קוד המעקב, וזה בטוח לומר שאם אתה רואה את הקבצים בתוך כל הרחבה, אתה להיות ריגל על, או יהיה ריגל על בשלב מסוים. תוספים מסוימים מכילים קוד מעקב אחר, כמובן, רק בגלל שהתוסף שלך אינו כולל אותם, אין פירושו דבר. הרמאים נוטים להיות מסובכים.
(שים לב שאנחנו עטופים את קוד המקור כדי להתאים את החלון)אתה בטח שם לב כי כתובת האתר בצד ימין לא בדיוק אותו דבר כמו קודם. קוד המקור למעקב בפועל הוא די מסובך, ונראה שלכל תוסף יש כתובת אתר למעקב אחרת.
מניעת הרחבה מעדכון אוטומטי (מתקדם)
אם יש לך תוסף שאתה מכיר ונותן בו אמון, וכבר אימת שהוא אינו מכיל דבר רע, תוכל לוודא שהתוסף אינו מעדכן אותך בחשאי בתוכנות ריגול - אבל הוא באמת ידני וכנראה לא מה אתה רוצה לעשות.
אם אתה עדיין רוצה לעשות זאת, פתח את החלונית 'תוספים', מצא את מזהה התוסף ולאחר מכן עבור אל% localappdata% \ google \ chrome \ User Data \ default \ Extensions ומצא את התיקייה שמכילה את התוסף שלך. שנה את השורה update_url ב- manifest.json כדי להחליף את clients2.google.com עם localhost. הערה: אנחנו לא יכולים לבדוק את זה עם הרחבה בפועל עדיין, אבל זה צריך לעבוד.
עבור Firefox, התהליך הוא הרבה יותר קל. עבור למסך הרחבות, לחץ על סמל התפריט ובטל את הסימון באפשרות "עדכן תוספים באופן אוטומטי".
אז איפה זה משאיר אותנו?
כבר קבענו שפעולות של תוספים מתעדכנות וכוללות מעקב / קוד ריגול, הזרקת מודעות, ומי יודע מה עוד. הם נמכרים לחברות לא אמין, או היזמים הם קנו עם הבטחה של כסף קל.
ברגע שיש לך התוספת מותקן, אין שום דרך לדעת כי הם לא הולכים להיות כולל תוכנות ריגול במורד הכביש. כל מה שאנחנו יודעים הוא שיש הרבה הרחבות והרחבות כי הם עושים את הדברים האלה.
אנשים ביקשו מאיתנו רשימה, וכפי שחקרנו, מצאנו כל כך הרבה תוספים שעושים את הדברים האלה, אנחנו לא בטוחים שנוכל ליצור רשימה מלאה של כולם. נוסיף רשימה של אותם לנושא הפורום המשויך למאמר זה, כדי שנוכל לעזור לקהילה ליצור רשימה גדולה יותר.
הצג את הרשימה המלאה או תן לנו את המשוב שלך