TL; Versione DR:
- I componenti aggiuntivi del browser per Chrome, Firefox e probabilmente altri browser stanno monitorando ogni singola pagina visitata e inviando i dati a una società di terze parti che li paga per le tue informazioni.
- Alcuni di questi componenti aggiuntivi iniettano anche annunci nelle pagine che visiti e Google lo consente specificamente per qualche motivo, purché sia "chiaramente divulgato".
- milioni di persone vengono seguite in questo modo e non ne hanno la minima idea.
Lo chiamiamo ufficialmente spyware? Beh … non è proprio così semplice. Wikipedia definisce spyware come "Software che aiuta a raccogliere informazioni su una persona o organizzazione a loro insaputa e che può inviare tali informazioni a un'altra entità senza il consenso del consumatore".Ciò non significa che tutto il software che raccoglie dati sia necessariamente spyware e non significa che tutto il software che invia i dati ai loro server è necessariamente spyware.
Ma quando lo sviluppatore di un'estensione fa di tutto per nascondere il fatto che ogni singola pagina che visiti viene archiviata e inviata a una società che li paga per quei dati mentre la seppellisce nelle impostazioni come "statistiche di utilizzo anonime", lì è un problema, almeno. Qualsiasi utente ragionevole supporterà che se uno sviluppatore vuole monitorare le statistiche di utilizzo, seguirà solo l'utilizzo dell'estensione stessa, ma è vero il contrario. La maggior parte di queste estensioni sta monitorando tutto ciò che faitranne usando l'estensione. Stanno solo monitorandotu.
Questo diventa ancora più problematico perché lo chiamano "anonimo statistiche d'uso "; la parola "anonimo" implica che sarebbe impossibile capire a chi appartengono quei dati, come se stessero pulendo i dati da tutte le informazioni. Ma loro non lo sono. Sì, certo, stanno usando un token anonimo per rappresentare te piuttosto che il tuo nome completo o la tua e-mail, ma ogni singola pagina che visiti è legata a quel token. Per tutto il tempo in cui è installata l'estensione.
Tieni traccia della cronologia di navigazione di chiunque abbastanza a lungo e puoi capire esattamente chi sono.
Quante volte hai aperto la tua pagina profilo Facebook, o Pinterest, Google+ o altra pagina? Hai mai notato in che modo l'URL contiene il tuo nome o qualcosa che ti identifica? Anche se non hai mai visitato nessuno di quei siti, capire chi sei è possibile.
Non so voi, ma la mia cronologia di navigazione èil mio,e nessuno dovrebbe avere accesso a questo, tranne me. C'è un motivo per cui i computer hanno password e tutti quelli con più di 5 anni sanno di cancellare la cronologia del browser. Quello che visiti su internet è molto personale, e nessuno dovrebbe avere l'elenco delle pagine che visito tranne me, anche se il mio nome non è specificamente associato alla lista.
Non sono un avvocato, ma le Norme del programma per gli sviluppatori di Google per le estensioni di Chrome indicano specificamente che a uno sviluppatore di estensioni non dovrebbe essere consentito pubblicare alcuna delle mie informazioni personali:
We don’t allow unauthorized publishing of people’s private and confidential information, such as credit card numbers, government identification numbers, driver’s and other license numbers, or any other information that is not publicly accessible.
Esattamente come la mia cronologia di navigazione non è un'informazione personale? Non è sicuramente accessibile al pubblico!
Sì, molte di queste estensioni inseriscono anche le inserzioni
Ogni volta che si tratta di annunci, ci saranno anche cookie coinvolti. (Vale la pena notare che questo sito è supportato da pubblicità, e gli inserzionisti inseriscono cookie sul tuo disco fisso, proprio come ogni sito su Internet.) Non pensiamo che i cookie siano un affare enorme, ma se lo fai, sono piuttosto carini facile da gestire.
Le estensioni adware sono in realtà meno un problema, se ci credi, perché quello che stanno facendo è molto ovvio per gli utenti dell'estensione, che possono quindi iniziare un tumulto su di esso e provare a far fermare lo sviluppatore. Ci auguriamo vivamente che Google e Mozilla cambino le loro ridicole politiche per proibire questo comportamento, ma non possiamo aiutarli a ottenere il buon senso.
Il tracciamento, d'altra parte, è fatto in segreto, o è essenzialmente segreto perché cercano di nascondere ciò che stanno facendo in modo legale nella descrizione delle estensioni, e nessuno scorre fino alla fine del readme per capire se tale estensione è andando a rintracciare le persone.
Questa spionaggio è nascosta dietro il regolamento EULA e le norme sulla privacy
Queste estensioni sono "consentite" per impegnarsi in questo comportamento di tracciamento perché lo "rivelano" nella loro pagina di descrizione, o ad un certo punto nel pannello delle opzioni. Ad esempio, l'estensione HoverZoom, che ha un milione di utenti, dice quanto segue nella loro pagina di descrizione, in fondo:
Hover Zoom uses anonymous usage statistics. This can be disabled in the options page without losing any features as well. By leaving this feature enabled, the user authorize the collection, transfer and use of anonymous usage data, including but not limited to transferring to third parties.
Dove esattamente in questa descrizione spiega che stanno andando a rintracciare ogni singola pagina visitata e inviare l'URL a una terza parte, che li paga peril tuo dati? In realtà, affermano ovunque che sono sponsorizzati tramite link affiliati, ignorando completamente il fatto che ti stanno spiando. Sì, è vero, stanno anche iniettando pubblicità dappertutto. Ma di quale ti preoccupi di più, un annuncio che compare su una pagina o che sta prendendo tutta la tua cronologia di navigazione e la rimanda a qualcun altro?
Questa particolare estensione ha avuto una lunga storia di cattivi comportamenti, risalendo da un po 'di tempo. Recentemente lo sviluppatore è stato sorpreso a raccogliere dati di navigazione Compreso forma dati … ma è stato catturato anche l'anno scorso vendendo i dati su ciò che hai digitato in un'altra azienda. Hanno aggiunto una politica sulla privacy ora che spiega in modo più approfondito cosa sta succedendo, ma se devi leggere una politica sulla privacy per capire che sei stato spiato, hai un altro problema.
Per riassumere, un milione di persone sono state spiate da questa sola estensione. E questo è solounodi queste estensioni - ci sono molte altre cose che fanno la stessa cosa
Le estensioni possono cambiare le mani o aggiornare senza la tua conoscenza
A peggiorare le cose, molte di queste estensioni sono cambiate nell'ultimo anno - e chiunque abbia mai scritto un'estensione è stato inondato da richieste di vendere la propria estensione a individui ombrosi, che poi ti contagiano con pubblicità o ti spiano. Dal momento che le estensioni non richiedono nuove autorizzazioni, non avrai mai l'opportunità di scoprire quali hanno aggiunto il tracciamento segreto a tua insaputa.
In futuro, ovviamente, dovresti evitare di installare estensioni o addon interamente o esseremolto attento a quali installare. Se chiedono le autorizzazioni per tutto sul tuo computer, devi fare clic sul pulsante Annulla ed eseguire.
Codice di tracciamento nascosto con un interruttore di abilitazione remota
Abbiamo testato una di queste estensioni, denominata Autocopy Original, inducendola a pensare che il comportamento di tracciamento doveva essere abilitato e siamo stati in grado di vedere immediatamente una tonnellata di dati inviati ai loro server. C'erano 73 di queste estensioni nel Chrome Store e alcune nell'archivio dei componenti aggiuntivi di Firefox. Sono facilmente identificabili perché appartengono a "wips.com" o "partner wips.com".
Ti stai chiedendo perché siamo preoccupati per il codice di monitoraggio che non è ancora abilitato? Perché la loro pagina di descrizione non dice una parola sul codice di tracciamento - è sepolto come una casella di controllo su ciascuna delle loro estensioni. Quindi le persone stanno installando le estensioni assumendo che provengano da un'azienda di qualità.
Ed è solo una questione di tempo prima che il codice di monitoraggio sia abilitato.
Indagare su questa spionaggio dell'estensione spettrale
La persona media non saprà mai nemmeno che questa spionaggio sta succedendo, non vedrà una richiesta a un server, non avrà nemmeno un modo per dire che sta accadendo. La stragrande maggioranza di quei milioni di utenti non sarà influenzata in alcun modo … tranne che i loro dati personali sono stati rubati da sotto di loro. Quindi come lo capisci da solo? Si chiama Fiddler.
Fiddler è uno strumento di debug web che funge da proxy e memorizza nella cache tutte le richieste in modo da poter vedere cosa sta succedendo. Questo è lo strumento che abbiamo usato: se vuoi duplicare a casa, installa una di queste estensioni di spionaggio come Hover Zoom e inizierai a visualizzare due richieste a siti simili a t.searchelper.com e api28.webovernet.com per ogni singola pagina che visualizzi. Se controlli il tag Inspectors vedrai un mucchio di testo con codifica Base64 … infatti, è stato codificato in base64 due volte per qualche motivo. (Se vuoi il testo completo di esempio prima della decodifica, lo abbiamo nascosto in un file di testo qui).
s=1809&md=21& pid=mi8PjvHcZYtjxAJ&sess=23112540366128090&sub=chrome &q= https%3A//secure.bankofamerica.com/login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Puoi trascinare api28.webovernet.com e l'altro sito nel tuo browser per vedere dove conducono, ma ti eviteremo la suspense: in realtà sono reindirizzamenti per l'API per una società denominata Rete simile, che è una delle tante aziende facendo questo tipo di tracciamento e vendendo i dati in modo che altre aziende possano spiare ciò che fanno i loro concorrenti.
Se sei un tipo avventuroso, puoi facilmente trovare lo stesso codice di monitoraggio aprendo la pagina chrome: // extensions e facendo clic sulla modalità sviluppatore, quindi su "Ispeziona visualizzazioni: html / background.html" o il testo simile che ti dice di ispezionare l'estensione. Questo ti permetterà di vedere quale estensione è in esecuzione tutto il tempo in background.
Prevenire un interno dall'aggiornamento automatico (avanzato)
Se vuoi ancora farlo, apri il pannello Estensioni, trova l'ID dell'estensione, quindi vai su% localappdata% google chrome Dati utente default Estensioni e trova la cartella che contiene la tua estensione. Modifica la riga update_url in manifest.json per sostituire clients2.google.com con localhost.Nota:non siamo stati in grado di testare questo con un'effettiva estensione ancora, ma dovrebbe funzionare.
Quindi, dove ci lascia?
Abbiamo già stabilito che un sacco di estensioni vengono aggiornate per includere il codice di tracciamento / spionaggio, l'iniezione di annunci e chissà cos'altro. Vengono venduti a società inaffidabili, o gli sviluppatori vengono acquistati con una promessa di soldi facili.
Una volta installato un componente aggiuntivo, non c'è modo di sapere che non includeranno lo spyware in futuro. Tutto quello che sappiamo è che ci sono molti add-on ed estensioni che stanno facendo queste cose.
Le persone ci hanno chiesto una lista e, come abbiamo indagato, abbiamo trovato così tante estensioni che fanno queste cose, non siamo sicuri di poterne fare una lista completa. Aggiungeremo un elenco di essi sull'argomento del forum associato a questo articolo, in modo che possiamo far sì che la community ci aiuti a generare un elenco più grande.
Visualizza la lista completa o forniscici il tuo feedback
