Advarsel Dine nettleserutvidelser spionerer på deg
Internett eksploderte fredag med nyheten om at Google Chrome-utvidelser blir solgt og injisert med adware. Men det lite kjente og mye viktigere faktum er at utvidelsene dine spionerer på deg og selger nettleserloggen til skyggefulle selskaper. HTG undersøker.
TL; DR versjon:
- Browser-tillegg for Chrome, Firefox og nok andre nettlesere sporer hver enkelt side du besøker, og sender dataene tilbake til et tredjepartsfirma som betaler dem for informasjonen din..
- Noen av disse tilleggene injiserer også annonser på sidene du besøker, og Google tillater dette spesielt av en eller annen grunn så lenge det er "tydelig avslørt".
- millioner av folk blir sporet på denne måten, og de har ingen anelse.
Kaller vi offisielt det spyware? Vel ... det er ikke så enkelt. Wikipedia definerer spyware som "Programvare som hjelper til med å samle informasjon om en person eller organisasjon uten deres kunnskap, og som kan sende slik informasjon til en annen enhet uten forbrukerens samtykke". Det betyr ikke at all programvare som samler data, er nødvendigvis spyware, og det betyr ikke at all programvare som sender data tilbake til sine servere, nødvendigvis er spionprogramvare.
Men når utvikleren av en utvidelse går ut av deres måte å skjule det faktum at hver eneste side du besøker, blir lagret og sendt til et selskap som betaler dem for dataene mens du begraver det i innstillingene som "anonym brukstatistikk", der er et problem, i det minste. Enhver rimelig bruker ville anta at hvis en utvikler ønsker å spore bruksstatistikk, vil de bare spore bruken av utvidelsen selv - men motsatt er sant. De fleste av disse utvidelsene sporer alt annet du gjør unntatt bruker forlengelsen. De sporer bare du.
Dette blir enda mer problematisk fordi de kaller det "anonym bruk statistikk "; ordet "anonyme" innebærer at det ville være umulig å finne ut hvem disse dataene tilhører, som om de rydder dataene rent av all din informasjon. Men de er det ikke. Ja, sikkert, de bruker et anonymt tegn til å representere deg i stedet for ditt fulle navn eller e-post, men hver side du besøker er knyttet til det token. Så lenge du har den utvidelsen installert.
Spor noen nettleserhistorie lenge nok, og du kan finne ut nøyaktig hvem de er.
Hvor mange ganger har du åpnet din egen Facebook-profilside, eller Pinterest, Google+ eller en annen side? Har du noen gang lagt merke til hvordan nettadressen inneholder navnet ditt eller noe som identifiserer deg? Selv om du aldri har besøkt noen av disse nettstedene, er det mulig å finne ut hvem du er.
Jeg vet ikke om deg, men nettleserloggen min er min, og ingen burde ha tilgang til det, men meg. Det er grunnen til at datamaskiner har passord, og alle eldre enn 5 vet om å slette nettleserloggen. Det du besøker på internett er veldig personlig, og ingen skal ha listen over sider jeg besøker, men meg, selv om navnet mitt ikke er spesielt knyttet til listen.
Jeg er ikke advokat, men utviklerprogramretningslinjene for Chrome-utvidelser sier spesielt at en utvidelsesutvikler ikke skal kunne publisere noen av mine personlige opplysninger:
Vi tillater ikke uautorisert publisering av folks private og konfidensielle opplysninger, for eksempel kredittkortnummer, myndighetsidentifikasjonsnumre, førerens og andre lisensnumre eller annen informasjon som ikke er offentlig tilgjengelig.
Nøyaktig hvordan er nettleserloggen min personlige informasjon? Det er definitivt ikke offentlig tilgjengelig!
Ja, mange av disse utvidelsene legger også inn annonser
Problemet er sammensatt av et stort antall utvidelser som injiserer annonser i mange av sidene du besøker. Disse utvidelsene plasserer bare annonsene deres uansett hvor de tilfeldigvis velger å sette dem inn på siden, og de er bare pålagt å inkludere et lite stykke tekst som identifiserer hvor annonsen kom fra, som de fleste vil ignorere, fordi de fleste ikke engang se på annonser.
Når du arbeider med annonser, vil det også være informasjonskapsler involvert. (Det er verdt å merke seg at dette nettstedet er annonsestøttet, og annonsørene legger informasjonskapsler på harddisken, akkurat som alle nettsteder på internett.) Vi tror ikke at informasjonskapsler er en stor sak, men hvis du gjør det, er de ganske lett å håndtere.
Adware-utvidelsene er faktisk mindre av et problem, hvis du kan tro det, fordi det de gjør er veldig åpenbart for brukerne av utvidelsen, hvem kan da begynne å bli opprørt om det og prøve å få utvikleren til å stoppe. Vi ønsker definitivt at Google og Mozilla vil forandre sine latterlige retningslinjer for å forby den atferden, men vi kan ikke hjelpe dem med å få sunn fornuft.
Sporing derimot gjøres i hemmelighet, eller er egentlig hemmelig fordi de forsøker å skjule hva de gjør i juridisk i beskrivelsen av utvidelsene, og ingen ruller til bunnen av readme for å finne ut om den utvidelsen er skal spore folk.
Dette spioneringen er skjult bak EULA og personvernregler
Disse utvidelsene er "tillatt" for å delta i denne sporingskodeksen fordi de "avslører" den på beskrivelsessiden, eller på et tidspunkt i deres valgpanel. For eksempel, HoverZoom-utvidelsen, som har en million brukere, sier følgende i beskrivelsessiden, helt nederst:
Hover Zoom bruker anonym bruksstatistikk. Dette kan deaktiveres på opsjonssiden uten å miste noen funksjoner. Ved å la denne funksjonen være aktivert, tillater brukeren samling, overføring og bruk av anonyme bruksdata, inkludert men ikke begrenset til overføring til tredjepart.
Hvor nøyaktig i denne beskrivelsen forklares det at de skal spore hver enkelt side du besøker, og sende nettadressen tilbake til en tredjepart, som betaler dem for din data? Faktisk hevder de overalt at de er sponset gjennom tilknyttede lenker, helt ignorerer det faktum at de spionerer på deg. Ja, det stemmer, de injiserer også annonser over alt. Men hvilken bryr du deg mer om, en annonse som vises på en side, eller de tar hele nettleserloggen og sender den tilbake til noen andre?
Hover Zoom's unnskyldningspanelDe er i stand til å komme seg bort med dette fordi de har en liten, liten boks begravet i deres valgpanel som sier "Aktiver anonym brukestatistikk", og du kan deaktivere den "funksjonen" - selv om det er verdt å merke seg at det er mislykket å bli sjekket.
Denne spesielle forlengelsen har hatt en lang historie med dårlig oppførsel, går tilbake en stund. Utvikleren har nylig blitt fanget innsamling av nettleserdata gjelder også skjema data ... men han ble også fanget i fjor å selge data om hva du skrev inn til et annet selskap. De har lagt til en personvernpolicy nå som forklarer i videre dybde hva som skjer, men hvis du må lese en personvernpolicy for å finne ut at du blir spionert, har du et annet problem.
For å oppsummere blir en million mennesker spionert av denne ene utvidelsen alene. Og det er bare en av disse utvidelsene - det er mye mer å gjøre det samme.
Utvidelser kan endre hender eller oppdatering uten din kunnskap
Denne utvidelsen ber om alt for mange tillatelser. Benekte!Det er absolutt ingen måte å vite når en utvidelse har blitt oppdatert for å inkludere spionprogrammer, og siden mange typer utvidelser trenger massevis av tillatelser til å fungere som de skal i første omgang, før de blir til adjektive spycraft, så du vant Ikke bli spurt når den nye versjonen kommer ut.
For å gjøre saken verre har mange av disse utvidelsene endret seg i løpet av det siste året - og noen som noensinne har skrevet en forlengelse, blir oversvømmet med forespørsler om å selge forlengelsen til skyggefulle personer, som deretter vil smitte deg med annonser eller spionere på deg. Siden utvidelsene ikke krever noen nye tillatelser, har du aldri mulighet til å finne ut hvilke som har lagt til hemmelig sporing uten din kunnskap.
I fremtiden, selvfølgelig, bør du enten unngå å installere utvidelser eller addons helt eller ikke veldig forsiktig med hvilke du installerer. Hvis de ber om tillatelser til alt på datamaskinen din, bør du klikke på Avbryt-knappen og kjøre.
Skjult sporingskode med en ekstern aktiveringsbryter
Det er andre utvidelser, faktisk mange av dem, som har fullstendig sporingskode bygget rett inn - men den koden er for øyeblikket deaktivert. Disse utvidelsene ping tilbake til serveren hver 7. dag for å oppdatere konfigurasjonen. Disse er konfigurert til å sende enda flere data tilbake - de beregner nøyaktig hvor lenge du har hver kategori åpen, og hvor lenge du bruker på hvert nettsted.
Vi testet en av disse utvidelsene, kalt Autocopy Original, ved å lure den til å tro at sporingskonfigurasjonen skulle aktiveres, og vi kunne umiddelbart se et massevis av data sendt tilbake til sine servere. Det var 73 av disse utvidelsene i Chrome Store, og noen i Firefox-tilleggsbutikken. De er lett identifiserbare fordi de er alle fra "wips.com" eller "wips.com partners".
Lurer på hvorfor vi er bekymret for sporingskoden som ikke er aktivert enda? Fordi deres beskrivelsesside ikke sier et ord om sporingskoden - det er begravet som en avkrysningsboks på hver av sine utvidelser. Så folk installerer utvidelsene ut fra at de er fra et kvalitetsfirma.
Og det er bare et spørsmål om tid før sporingskoden er aktivert.
Undersøkelse av denne Spionforlengelsesforfølgelsen
Den gjennomsnittlige personen kommer aldri til å engang vite at dette spioneringen skjer - de vil ikke se en forespørsel til en server, de vil ikke engang få en måte å fortelle at det skjer. De aller fleste av de millioner brukerne vil ikke bli påvirket på noen måte ... bortsett fra at deres personopplysninger ble stjålet ut fra dem. Så hvordan finner du dette ut for deg selv? Den heter Fiddler.
Fiddler er et webfeilsøkingsverktøy som fungerer som en proxy og caches alle forespørsler slik at du kan se hva som skjer. Dette er verktøyet vi brukte - hvis du vil kopiere hjemme, bare installer en av disse spionforlengelsene som Hover Zoom, og du vil begynne å se to forespørsler til nettsteder som ligner t.searchelper.com og api28.webovernet.com for hver enkelt side du ser. Hvis du ser på inspektør-taggen, ser du en haug med base64-kodet tekst ... faktisk har den blitt base64-kodet to ganger av en eller annen grunn. (Hvis du vil ha hele eksempelteksten før dekoding, stashed vi den i en tekstfil her).
De vil spore et nettsted du besøker, selv de HTTPS-eneNår du har avkodet den teksten, ser du nøyaktig hva som skjer. De sender tilbake den nåværende siden du besøker, sammen med forrige side, og en unik ID for å identifisere deg, og annen informasjon. Det veldig skummelt om dette eksemplet er at jeg var på mitt bankside på den tiden, som er SSL kryptert ved hjelp av HTTPS. Det stemmer, disse utvidelsene sporer fortsatt deg på nettsteder som skal krypteres.
s = 1809 & md = 21 &PID = mi8PjvHcZYtjxAJ& Sess = 23112540366128090 & sub = krom
& Q =https% 3A // secure.bankofamerica.com / login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A/ /secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Du kan slippe api28.webovernet.com og det andre nettstedet i nettleseren din for å se hvor de fører, men vi sparer spenningen: de er faktisk omdirigeringer for API-en for et selskap som heter Lignende Web, som er en av mange selskaper gjør denne typen sporing, og selger dataene slik at andre selskaper kan spionere på hva deres konkurrenter gjør.
Hvis du er den eventyrlystne typen, kan du enkelt finne den samme sporingskoden ved å åpne Chrome: // utvidelser-siden og klikke på utviklermodus, og deretter "Inspisere visninger: html / background.html" eller lignende tekst som forteller deg å inspisere utvidelsen. Dette kommer til å la deg se hva den utvidelsen kjører hele tiden i bakgrunnen.
Det søppel kanikonet er din vennNår du klikker for å inspisere, vil du umiddelbart se en liste over kildefiler og alle andre ting som trolig vil være gresk til deg. De viktige tingene i dette tilfellet er de to filene kalt tr_advanced.js og tr_simple.js. Disse inneholder sporingskoden, og det er trygt å si at hvis du ser disse filene inne i en utvidelse, blir du spionert på eller vil bli spionert på et tidspunkt. Noen utvidelser inneholder forskjellig sporingskode, selvfølgelig, så bare fordi utvidelsen din ikke har disse, betyr ikke noe. Svindlere har en tendens til å være vanskelig.
(Merk at vi pakket inn kildekoden for å passe inn i vinduet)Du vil sikkert merke at nettadressen på høyre side ikke er helt den samme som den tidligere. Den faktiske sporingskilden er ganske komplisert, og det ser ut til at hver utvidelse har en annen sporingsadresse.
Forhindre en utvidelse fra oppdatering automatisk (avansert)
Hvis du har en utvidelse som du kjenner og stoler på, og du allerede har bekreftet at den ikke inneholder noe dårlig, kan du sørge for at utvidelsen aldri hemmelighet oppdaterer deg med spionprogrammer - men det er virkelig manuell og sannsynligvis ikke hva du vil gjøre.
Hvis du fortsatt vil gjøre det, åpner du utvidelsespanelet, finner IDen til utvidelsen, deretter leder til% localappdata% \ google \ chrome \ Brukerdata \ standard \ Extensions, og finn mappen som inneholder utvidelsen. Endre update_url-linjen i manifest.json for å erstatte clients2.google.com med localhost. Merk: Vi har ikke vært i stand til å teste dette med en faktisk utvidelse ennå, men det skal fungere.
For Firefox er prosessen mye enklere. Gå til Add-ons-skjermbildet, klikk på menyikonet, og fjern merket for "Oppdater tilleggs-tillegg automatisk".
Så hvor forlater dette oss?
Vi har allerede oppdaget at mange utvidelser oppdateres for å inkludere sporingskoder, spioneringskoder, injeksjon av annonser og hvem vet hva som er mer. De blir solgt til uverdige selskaper, eller utviklerne blir kjøpt med et løfte om enkle penger.
Når du har installert et tilleggsprogram, er det ingen måte å vite at de ikke kommer til å være inkludert spionvare nedover veien. Alt vi vet er at det er mange tillegg og utvidelser som gjør disse tingene.
Folk har bedt oss om en liste, og som vi har undersøkt, har vi funnet så mange utvidelser som gjør disse tingene, vi er ikke sikre på at vi kan lage en fullstendig liste over dem alle. Vi legger til en liste over dem til forumtemaet som er knyttet til denne artikkelen, så vi kan få samfunnet til å hjelpe oss med å generere en større liste.
Se hele listen eller Gi oss din tilbakemelding