Advarsel Dine browserudvidelser spionerer på dig
Internettet eksploderede fredag med nyheden om, at Google Chrome-udvidelser bliver solgt og injiceret med adware. Men det lidt kendte og meget vigtigere faktum er, at dine udvidelser spionerer på dig og sælger din browsinghistorie til skyggefulde virksomheder. HTG undersøger.
TL; DR version:
- Browser-tilføjelser til Chrome, Firefox og sandsynligvis andre browsere sporer hver enkelt side, du besøger, og sender disse data tilbage til et tredjepartsfirma, der betaler dem til dine oplysninger.
- Nogle af disse add-ons injicerer også annoncer i de sider, du besøger, og Google tillader specifikt dette af en eller anden grund, så længe det er "klart beskrevet".
- Millioner af mennesker bliver sporet på denne måde, og de har ingen anelse.
Kaller vi officielt det spyware? Nå ... det er ikke helt så simpelt. Wikipedia definerer spyware som "Software, der hjælper med at indsamle oplysninger om en person eller organisation uden deres viden, og som kan sende sådanne oplysninger til en anden enhed uden forbrugerens samtykke". Det betyder ikke, at al software, der samler data, nødvendigvis er spyware, og det betyder ikke, at al software, der sender data tilbage til deres servere, nødvendigvis er spyware.
Men når udvikleren af en udvidelse går ud af deres måde at skjule det faktum, at hver enkelt side, du besøger, bliver gemt og sendt til et firma, der betaler dem for disse data, mens du begraver det i indstillingerne som "anonym brugsstatistik" er et problem, i det mindste. Enhver rimelig bruger ville antage, at hvis en udvikler ønsker at spore brugsstatistikker, vil de kun spore brugen af selve udvidelsen - men det modsatte er sandt. De fleste af disse udvidelser sporer alt andet du gør undtagen ved hjælp af udvidelsen. De sporer bare du.
Dette bliver endnu mere problematisk, fordi de kalder det "anonym brugsstatistik "; ordet "anonyme" indebærer, at det ville være umuligt at finde ud af, hvem disse data tilhører, som om de rydder dataene rent af al din information. Men de er det ikke. Ja, det er sikkert, at de bruger et anonymt tegn til at repræsentere dig i stedet for dit fulde navn eller e-mail, men hver eneste side du besøger er bundet til det token. Så længe du har den udvidelse installeret.
Spor nogens browserhistorie længe nok, og du kan finde ud af præcis, hvem de er.
Hvor mange gange har du åbnet din egen Facebook-profilside, eller din Pinterest, Google+ eller en anden side? Har du nogensinde bemærket, hvordan URL'en indeholder dit navn eller noget, der identificerer dig? Selvom du aldrig har besøgt nogen af disse websteder, er det muligt at finde ud af, hvem du er.
Jeg ved ikke om dig, men min browserhistorik er mine, og ingen skal have adgang til det men jeg. Der er en grund til, at computere har adgangskoder, og alle ældre end 5 ved, om deres browserhistorik slettes. Det, du besøger på internettet, er meget personlig, og ingen skal have listen over sider, jeg besøger, men jeg, selvom mit navn ikke er specifikt forbundet med listen.
Jeg er ikke en advokat, men Google Developer Program Policies for Chrome-udvidelser siger specifikt, at en udvidelsesudvikler ikke må lov til at offentliggøre nogen af mine personlige oplysninger:
Vi tillader ikke uautoriseret udgivelse af folks private og fortrolige oplysninger, såsom kreditkortnumre, offentlige identifikationsnumre, førerens og andre licensnumre eller andre oplysninger, der ikke er offentligt tilgængelige.
Præcis hvordan er min browsinghistorik ikke personlige oplysninger? Det er bestemt ikke offentligt tilgængeligt!
Ja, mange af disse udvidelser indsætter også annoncer
Problemet er forstærket af et stort antal udvidelser, der sprøjter annoncer til mange af de sider, du besøger. Disse udvidelser sætter bare deres annoncer, hvor de tilfældigt vælger at sætte dem ind på siden, og de skal kun indeholde et lille stykke tekst, der identificerer, hvor annoncen kommer fra, som de fleste vil ignorere, fordi de fleste ikke engang se på annoncer.
Når du beskæftiger dig med annoncer, vil der også være involverede cookies. (Det er værd at bemærke, at dette websted er annonceunderstøttet, og annoncørerne sætter cookies på din harddisk, ligesom alle websteder på internettet.) Vi tror ikke, at cookies er en stor aftale, men hvis du gør det, er de smukke let at håndtere.
Adware-udvidelserne er faktisk mindre af et problem, hvis du kan tro det, for det, de gør, er meget indlysende for brugerne af udvidelsen, hvem kan derefter starte en oprør over det og forsøge at få udvikleren til at stoppe. Vi ønsker absolut, at Google og Mozilla vil ændre deres latterlige politikker for at forbyde denne adfærd, men vi kan ikke hjælpe dem med at få sund fornuft.
Sporing er derimod gjort i hemmelighed, eller er i det væsentlige hemmeligt, fordi de forsøger at skjule hvad de gør i retssagen i beskrivelsen af udvidelserne, og ingen ruller til bunden af readme for at finde ud af om denne udvidelse er vil spore folk.
Dette spionage er skjult bag EULA'er og privatlivspolitikker
Disse udvidelser er "tilladt" til at deltage i denne sporingsadfærd, fordi de "afslører" det på deres beskrivelsesside eller på et eller andet tidspunkt i deres indstillingspanel. For eksempel siger HoverZoom-udvidelsen, som har en million brugere, følgende i deres beskrivelsesside, helt nederst:
Hover Zoom bruger anonym brugsstatistik. Dette kan deaktiveres på options siden uden at miste nogen funktioner. Ved at lade denne funktion være aktiveret giver brugeren tilladelse til indsamling, overførsel og brug af anonyme brugsdata, herunder men ikke begrænset til overførsel til tredjepart.
Hvor præcist i denne beskrivelse forklarer det, at de vil spore hver enkelt side, du besøger, og sende URL'en tilbage til en tredjepart, som betaler dem for dine data? Faktisk hævder de overalt, at de sponsoreres gennem affilierede links, fuldstændig ignorerer det faktum, at de spionerer på dig. Ja, det er rigtigt, de sprøjter også annoncer overalt. Men hvilken er du mere interesseret i, en annonce, der vises på en side, eller de tager hele din browserhistorik og sender den tilbage til en anden?
Hover Zoom's undskyldningspanelDe er i stand til at komme væk med dette, fordi de har en lille lille afkrydsningsfelt begravet i deres indstillingspanel, der siger "Aktiver anonym brugsstatistik", og du kan deaktivere den "funktion" - selv om det er værd at bemærke, at det er mislykket at blive kontrolleret.
Denne særlige udvidelse har haft en lang historie med dårlig opførsel, går tilbage en del tid. Udvikleren er for nylig blevet fanget med at indsamle browserdata inklusive form data ... men han blev også fanget sidste år sælger data om, hvad du skrev ind til et andet firma. De har tilføjet en fortrolighedspolitik nu, der forklarer i videre dybde, hvad der sker, men hvis du skal læse en privatlivspolitik for at finde ud af, at du bliver spioneret, har du et andet problem.
Til sammen opsummeres en million mennesker alene ved denne ene udvidelse. Og det er bare det en af disse udvidelser - der er meget mere at gøre det samme.
Udvidelser kan ændre hænder eller opdatering uden din viden
Denne udvidelse beder om alt for mange tilladelser. Nægte!Der er absolut ingen måde at vide, hvornår en udvidelse er blevet opdateret til at omfatte spyware, og da mange typer af udvidelser behøver en masse tilladelser til selv at fungere korrekt i første omgang, før de bliver til adjektionsstykker af spycraft, så du vandt Anmodes ikke, når den nye version kommer ud.
For at gøre sager værre har mange af disse udvidelser ændret sig i løbet af det sidste år - og enhver, der nogensinde har skrevet en udvidelse, bliver oversvømmet med anmodninger om at sælge deres udvidelse til skyggefulde personer, som derefter vil inficere dig med annoncer eller spionere på dig. Da udvidelserne ikke kræver nye tilladelser, har du aldrig mulighed for at finde ud af, hvilke der tilføjede hemmelig sporing uden din viden.
I fremtiden skal du selvfølgelig enten undgå at installere udvidelser eller addons helt eller være meget Pas på, hvilke som du installerer. Hvis de beder om tilladelser til alt på din computer, skal du klikke på knappen Annuller og kør.
Skjult sporingskode med en fjernbetjeningsafbryder
Der er andre udvidelser, faktisk et ton af dem, der har komplet sporingskode bygget lige ind - men den kode er for øjeblikket deaktiveret. Disse udvidelser pinger tilbage til serveren hver 7 dage for at opdatere deres konfiguration. Disse er konfigureret til at sende endnu flere data tilbage - de beregner præcis, hvor længe du har hver fane åben, og hvor længe du bruger på hvert websted.
Vi afprøvede en af disse udvidelser, kaldet Autocopy Original, ved at narre den til at tro, at sporingsadfærd skulle aktiveres, og vi kunne straks se et ton af data sendt tilbage til deres servere. Der var 73 af disse udvidelser i Chrome Butik, og nogle i Firefox-add-ons-butikken. De er let identificerbare, fordi de er alle fra "wips.com" eller "wips.com partners".
Spekulerer på, hvorfor vi er bekymrede for sporingskode, der ikke engang er aktiveret endnu? Fordi deres beskrivelsesside ikke siger et ord om sporingskoden - det er begravet som en afkrydsningsfelt på hver af deres udvidelser. Så folk installerer udvidelserne, forudsat at de er fra et kvalitetsfirma.
Og det er kun et spørgsmål om tid, før den sporingskode er aktiveret.
Undersøgelse af denne Spionforlængelse Awfulness
Den gennemsnitlige person vil aldrig nogensinde vide, at denne spionering foregår - de vil ikke se en anmodning til en server, de vil ikke engang have en måde at fortælle, at det sker. Langt de fleste af de millioner brugere vil ikke blive påvirket på nogen måde ... bortset fra at deres personlige data blev stjålet ud fra under dem. Så hvordan finder du det ud for dig selv? Det hedder Fiddler.
Fiddler er et webfejlfinding værktøj, der fungerer som en proxy og caches alle anmodninger, så du kan se, hvad der foregår. Dette er det værktøj, vi brugte - hvis du vil duplikere derhjemme, skal du blot installere en af disse spionereudvidelser som Hover Zoom, og du vil begynde at se to anmodninger til websteder, der ligner t.searchelper.com og api28.webovernet.com for hver enkelt side, du ser. Hvis du tjekker på Inspectors-taggen, kan du se en flok base64-kodet tekst ... faktisk er den blevet base64-kodet to gange af en eller anden grund. (Hvis du vil have det fulde eksempeltekst før dekodning, stashed vi det i en tekstfil her).
De vil spore ethvert websted, du besøger, selv de HTTPS demNår du har afkodet den pågældende tekst korrekt, kan du se, hvad der sker. De sender tilbage den aktuelle side, du besøger, sammen med den forrige side og et unikt id til identifikation af dig og nogle andre oplysninger. Det meget skræmmende ved dette eksempel er, at jeg var på mit banksite på det tidspunkt, hvilket er SSL-krypteret ved hjælp af HTTPS. Det er korrekt, disse udvidelser sporer dig stadig på websteder, der skal krypteres.
s = 1809 & md = 21 &pid = mi8PjvHcZYtjxAJ& Sess = 23112540366128090 & sub = krom
& Q =https% 3A // secure.bankofamerica.com / login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A/ /secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Du kan droppe api28.webovernet.com og det andet websted i din browser for at se, hvor de fører, men vi sparer spændingen: de er faktisk omdirigeringer til API'en til et firma kaldet Lignende Web, som er et af mange virksomheder gør denne form for sporing og sælger dataene, så andre virksomheder kan spionere på, hvad deres konkurrenter gør.
Hvis du er den eventyrlystne type, kan du nemt finde den samme sporingskode ved at åbne din chrome: // extensions-side og klikke på Developer-tilstanden og derefter "Inspicere visninger: html / background.html" eller den tilsvarende tekst, som fortæller dig at inspicere udvidelsen. Dette vil lade dig se, hvad denne udvidelse kører hele tiden i baggrunden.
Denne papirkurv ikon er din venNår du klikker for at inspicere, vil du straks se en liste over kildefiler og alle andre ting, der sandsynligvis vil være græske til dig. De vigtige ting i dette tilfælde er de to filer med navnet tr_advanced.js og tr_simple.js. Disse indeholder sporingskoden, og det er sikkert at sige, at hvis du ser disse filer inde i en udvidelse, bliver du spioneret på eller vil blive spioneret på et tidspunkt. Nogle udvidelser indeholder forskellige sporingskoder, selvfølgelig, så bare fordi din udvidelse ikke har dem, betyder ikke noget. Svindlere har tendens til at være vanskelig.
(Bemærk at vi pakket kildekoden til at passe ind i vinduet)Du vil nok bemærke, at webadressen på højre side ikke er helt den samme som den tidligere. Den egentlige sporingskode er ret kompliceret, og det ser ud til, at hver udvidelse har en anden sporingswebadresse.
Forebyggelse af en forlængelse fra opdatering automatisk (avanceret)
Hvis du har en udvidelse, som du kender og stoler på, og du allerede har bekræftet, at den ikke indeholder noget dårligt, kan du sikre dig, at udvidelsen aldrig hemmeligt opdaterer dig med spyware - men det er virkelig manuel og sikkert ikke hvad du vil gerne gøre.
Hvis du stadig vil gøre det, skal du åbne panelet Udvidelser, finde ID'en af udvidelsen, og derefter gå til% localappdata% \ google \ chrome \ Brugerdata \ standard \ Udvidelser og find den mappe, der indeholder din udvidelse. Skift update_url-linjen i manifest.json for at erstatte clients2.google.com med localhost. Bemærk: Vi har ikke kunnet teste dette med en faktisk udvidelse endnu, men det skal fungere.
For Firefox er processen meget nemmere. Gå til Add-ons-skærmen, klik på menuikonet og fjern markeringen "Opdater tilføjelser automatisk".
Så hvor forlader dette os?
Vi har allerede konstateret, at mange udvidelser opdateres til at omfatte sporing / spioneringskode, indsprøjtning af annoncer, og hvem ved hvad der er mere. De sælges til ikke-troværdige virksomheder, eller udviklerne bliver købt med et løfte om nemme penge.
Når du har installeret et tilføjelsesprogram, er der ingen måde at vide, at de ikke kommer til at omfatte spyware ned ad vejen. Alt, hvad vi ved, er, at der er mange tilføjelser og udvidelser, der gør disse ting.
Folk har beder os om en liste, og som vi har undersøgt, har vi fundet så mange udvidelser, der gør disse ting, vi er ikke sikre på, at vi kan lave en komplet liste over dem alle. Vi tilføjer en liste over dem til forumtemaet, der er knyttet til denne artikel, så vi kan få samfundet til at hjælpe os med at generere en større liste.
Se den fulde liste eller giv os din feedback