Pagina inicial » como » Aviso que as extensões do seu navegador estão espiando em você

    Aviso que as extensões do seu navegador estão espiando em você

    A internet explodiu na sexta-feira com a notícia de que as extensões do Google Chrome estão sendo vendidas e injetadas com adware. Mas o fato pouco conhecido e muito mais importante é que suas extensões estão espionando você e vendendo seu histórico de navegação para corporações obscuras. HTG investiga.

    TL; versão DR:

    • Os complementos do navegador para o Chrome, Firefox e provavelmente outros navegadores estão rastreando todas as páginas que você visita e enviando esses dados de volta para uma empresa de terceiros que os paga por suas informações.
    • Alguns desses complementos também estão injetando anúncios nas páginas que você visita, e o Google especificamente permite isso por algum motivo, desde que seja "claramente divulgado".
    • Milhões de pessoas estão sendo rastreadas desta forma e eles não têm a menor idéia.

    Estamos oficialmente chamando-o de spyware? Bem… não é tão simples assim. Wikipedia define spyware como “Software que auxilia na coleta de informações sobre uma pessoa ou organização sem o seu conhecimento e que pode enviar essas informações para outra entidade sem o consentimento do consumidor”. Isso não significa que todo software que coleta dados seja necessariamente um spyware, e isso não significa que todo software que envia dados de volta para seus servidores seja necessariamente um spyware..

    Mas quando o desenvolvedor de uma extensão faz de tudo para esconder o fato de que cada página que você visita está sendo armazenada e enviada para uma corporação que paga por esses dados enquanto a enterra nas configurações como “estatísticas de uso anônimas”, é um problema, pelo menos. Qualquer usuário razoável presumiria que, se um desenvolvedor quiser rastrear estatísticas de uso, ele só rastreará o uso da extensão em si - mas o oposto é verdadeiro. A maioria dessas extensões está rastreando tudo o que você faz exceto usando a extensão. Eles estão apenas rastreando você.

    Isso se torna ainda mais problemático, porque eles chamam de “anônimo estatísticas de utilização"; a palavra "anônimo" implica que seria impossível descobrir a quem esses dados pertencem, como se estivessem limpando os dados de todas as suas informações. Mas eles não são. Sim, claro, eles estão usando um token anônimo para representá-lo, em vez de seu nome completo ou e-mail, mas cada página que você visita está vinculada a esse token. Por enquanto você tem essa extensão instalada.

    Acompanhe o histórico de navegação de qualquer pessoa por tempo suficiente e você pode descobrir exatamente quem são.

    Quantas vezes você abriu sua própria página de perfil do Facebook, ou seu Pinterest, Google+ ou outra página? Você já percebeu como o URL contém seu nome ou algo que o identifica? Mesmo que você nunca tenha visitado nenhum desses sites, descobrir quem você é é possível.

    Eu não sei sobre você, mas meu histórico de navegação é meu, e ninguém deveria ter acesso a isso além de mim. Há uma razão pela qual os computadores têm senhas e todas as pessoas com mais de 5 anos sabem como excluir o histórico do navegador. O que você visita na internet é muito pessoal, e ninguém deve ter a lista de páginas que eu visito além de mim, mesmo que meu nome não esteja especificamente associado à lista..

    Não sou advogado, mas as Políticas do programa para desenvolvedores do Google para extensões do Google Chrome dizem especificamente que um desenvolvedor de extensão não deve poder publicar nenhuma das minhas informações pessoais:

    Não permitimos a publicação não autorizada de informações privadas e confidenciais de pessoas, como números de cartão de crédito, números de identificação do governo, números de carteira de motorista e outros, ou qualquer outra informação que não seja de acesso público..

    Exatamente como meu histórico de navegação não é informação pessoal? Definitivamente não é publicamente acessível!

    Sim, muitas dessas extensões inserem anúncios também

    O problema é agravado por um grande número de extensões que estão injetando anúncios em muitas das páginas que você visita. Essas extensões estão apenas colocando seus anúncios onde quer que eles escolham aleatoriamente para colocá-los na página, e eles só precisam incluir um pequeno texto identificando de onde o anúncio veio, o que a maioria das pessoas ignorará, porque a maioria das pessoas nem sequer veja anúncios.

    Sempre que você estiver lidando com anúncios, também haverá cookies envolvidos. (Vale a pena notar que este site é suportado por anúncios, e os anunciantes colocam cookies no seu disco rígido, assim como todos os sites na internet.) Nós não achamos que os cookies são um grande negócio, mas se você fizer isso, eles são bonitos fácil de lidar.

    As extensões de adware são, na verdade, um problema menor, se você puder acreditar, porque o que elas estão fazendo é muito óbvio para os usuários da extensão, que podem então começar um alvoroço sobre isso e tentar fazer com que o desenvolvedor pare. Nós definitivamente desejamos que o Google e a Mozilla mudem suas políticas ridículas para proibir esse comportamento, mas não podemos ajudá-los a ter bom senso.

    O rastreamento, por outro lado, é feito em segredo, ou é essencialmente secreto porque eles tentam esconder o que estão fazendo em termos jurídicos na descrição das extensões, e ninguém rola para a parte inferior do leia-me para descobrir se essa extensão é indo para rastrear pessoas.

    Esta espionagem está escondida por trás de EULAs e políticas de privacidade

    Essas extensões são "permitidas" para se engajar nesse comportamento de rastreamento porque "divulgam" isso em sua página de descrição ou em algum momento no painel de opções. Por exemplo, a extensão HoverZoom, que tem um milhão de usuários, diz o seguinte em sua página de descrição, na parte inferior:

    O Hover Zoom usa estatísticas de uso anônimas. Isso pode ser desativado na página de opções sem perder recursos também. Ao deixar esse recurso ativado, o usuário autoriza a coleta, a transferência e o uso de dados de uso anônimos, incluindo, entre outros, a transferência para terceiros.. 

    Onde exatamente nesta descrição explica que eles irão rastrear cada página que você visitar e enviar a URL de volta para um terceiro, que paga por seu dados? Na verdade, eles afirmam que são patrocinados por meio de links afiliados, ignorando completamente o fato de estarem espionando você. Sim, isso mesmo, eles também estão injetando anúncios em todo o lugar. Mas com o que você se preocupa mais, um anúncio sendo exibido em uma página ou eles pegando todo o seu histórico de navegação e enviando de volta para outra pessoa??

    Painel de Desculpas do Hover Zoom

    Eles conseguem se safar disso, porque têm uma pequena caixa de seleção enterrada no painel de opções que diz "Habilitar estatísticas de uso anônimas", e você pode desabilitar esse "recurso" - embora seja importante notar que é padronizado para ser verificado.

    Essa extensão em particular tem uma longa história de mau comportamento, voltando há algum tempo. O desenvolvedor foi recentemente apanhado coletando dados de navegação Incluindo dados de formulário ... mas ele também foi pego no ano passado, vendendo dados sobre o que você digitou em outra empresa. Eles adicionaram uma política de privacidade agora que explica em profundidade o que está acontecendo, mas se você tiver que ler uma política de privacidade para descobrir que está sendo espionado, você tem outro problema.

    Para resumir, um milhão de pessoas estão sendo espionadas por esta única extensão. E isso é apenas dessas extensões - há muito mais fazendo a mesma coisa.

    Extensões podem mudar de mãos ou atualizar sem o seu conhecimento

    Esta extensão está pedindo muitas permissões. Negar!

    Não há absolutamente nenhuma maneira de saber quando uma extensão foi atualizada para incluir spyware, e já que muitos tipos de extensões precisam de uma tonelada de permissões para funcionar adequadamente antes de se transformarem em peças de spycraft de ad-injeção, então você ganhou será avisado quando a nova versão sair.

    Para piorar, muitas dessas extensões mudaram de mãos ao longo do último ano - e qualquer um que já tenha escrito uma extensão está sendo inundado com pedidos para vender sua extensão a pessoas suspeitas, que então o infectarão com anúncios ou espionariam você. Como as extensões não exigem novas permissões, você nunca terá a oportunidade de descobrir quais adicionaram rastreamento secreto sem seu conhecimento.

    No futuro, é claro, você deve evitar instalar extensões ou addons completamente ou ser muito cuidado com quais você instala. Se eles pedem permissões para tudo no seu computador, você deve clicar no botão Cancelar e executar.

    Código de acompanhamento oculto com um comutador de ativação remota

    Existem outras extensões, na verdade, uma tonelada delas, com código de acompanhamento completo embutido - mas esse código está desabilitado no momento. Essas extensões retornam ao servidor a cada 7 dias para atualizar sua configuração. Esses são configurados para enviar ainda mais dados. Eles calculam exatamente quanto tempo você tem cada guia aberta e quanto tempo você gasta em cada site..

    Testamos uma dessas extensões, chamada Autocopy Original, enganando-a, achando que o comportamento de rastreamento deveria estar ativado, e pudemos ver imediatamente uma tonelada de dados enviados de volta para seus servidores. Havia 73 dessas extensões na Chrome Store e algumas na loja de complementos do Firefox. Eles são facilmente identificáveis ​​porque são todos de “wips.com” ou “parceiros wips.com”.

    Está se perguntando por que estamos preocupados com o código de acompanhamento que ainda não está ativado? Como a página de descrição deles não diz uma palavra sobre o código de acompanhamento, ela fica escondida como uma caixa de seleção em cada uma de suas extensões. Então, as pessoas estão instalando as extensões assumindo que são de uma empresa de qualidade.

    E é apenas uma questão de tempo até que o código de acompanhamento esteja ativado.

    Investigando este Awfulness da extensão da espionagem

    A pessoa média não vai nem saber que esta espionagem está acontecendo - eles não vão ver um pedido para um servidor, eles nem sequer têm uma maneira de dizer que isso está acontecendo. A grande maioria desses milhões de usuários não será afetada de forma alguma… exceto que seus dados pessoais foram roubados por eles. Então, como você descobre isso por si mesmo? Chama-se violinista.

    O Fiddler é uma ferramenta de depuração da web que atua como um proxy e armazena em cache todas as solicitações para que você possa ver o que está acontecendo. Esta é a ferramenta que usamos - se você quiser duplicar em casa, basta instalar uma dessas extensões de espionagem, como o Hover Zoom, e você começará a ver duas solicitações para sites semelhantes a t.searchelper.com e api28.webovernet.com para cada página que você visualiza. Se você marcar a tag Inspectors, verá um monte de texto codificado na base64 ... na verdade, ele foi codificado na base64 duas vezes por algum motivo. (Se você quiser o texto completo do exemplo antes da decodificação, nós o colocamos em um arquivo de texto aqui).

    Eles rastrearão qualquer site que você visitar, até mesmo os do HTTPS

    Depois de decodificar o texto com sucesso, você verá exatamente o que está acontecendo. Eles estão enviando de volta a página atual que você está visitando, juntamente com a página anterior, e uma identificação exclusiva para identificá-lo e algumas outras informações. A coisa mais assustadora sobre este exemplo é que eu estava no meu site bancário no momento, que é SSL criptografado usando HTTPS. É isso mesmo, essas extensões ainda estão rastreando você em sites que devem ser criptografados.

    s = 1809 & md = 21 &pid = mi8PjvHcZYtjxAJ& sess = 23112540366128090 & sub = cromo
    & q =https% 3A // secure.bankofamerica.com / login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A/ /secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go

    Você pode baixar api28.webovernet.com e o outro site em seu navegador para ver aonde eles levam, mas vamos economizar o suspense: eles são na verdade redirecionamentos para a API de uma empresa chamada Similar Web, que é uma das muitas empresas fazendo esse tipo de rastreamento e vendendo os dados para que outras empresas possam espionar o que seus concorrentes estão fazendo.

    Se você for do tipo aventureiro, poderá encontrar facilmente esse mesmo código de acompanhamento abrindo a página chrome: // extensions e clicando no modo de desenvolvedor e, em seguida, em "Inspecionar exibições: html / background.html" ou no texto semelhante diz-lhe para inspecionar a extensão. Isso permitirá que você veja o que essa extensão está executando o tempo todo em segundo plano.

    Esse ícone de lata de lixo é seu amigo

    Depois de clicar para inspecionar, você verá imediatamente uma lista de arquivos de origem e todos os tipos de outras coisas que provavelmente serão gregas para você. As coisas importantes neste caso são os dois arquivos chamados tr_advanced.js e tr_simple.js. Eles contêm o código de acompanhamento, e é seguro dizer que, se você vir esses arquivos dentro de qualquer extensão, está sendo espionado ou será espionado em algum momento. Algumas extensões contêm códigos de acompanhamento diferentes, é claro, portanto, só porque a sua extensão não as possui, isso não significa nada. Os golpistas tendem a ser complicados.

    (Observe que encapsulamos o código-fonte para caber na janela)

    Você provavelmente notará que o URL no lado direito não é o mesmo que o anterior. O código-fonte de acompanhamento real é bastante complicado e parece que cada extensão tem um URL de rastreamento diferente.

    Impedindo que uma extensão atualize automaticamente (avançado)

    Se você tem uma extensão que você conhece e confia, e você já verificou que ela não contém nada de ruim, você pode ter certeza que a extensão nunca atualiza secretamente em você com spyware - mas é realmente manual e provavelmente não é o que você vai querer fazer.

    Se você ainda quiser fazer isso, abra o painel Extensões, encontre o ID da extensão e vá para% localappdata% \ google \ chrome \ Dados do usuário \ padrão \ Extensões e encontre a pasta que contém sua extensão. Altere a linha update_url no manifest.json para substituir clients2.google.com por localhost. Nota: Ainda não conseguimos testar isso com uma extensão real, mas deve funcionar.

    Para o Firefox, o processo é muito mais fácil. Vá para a tela de Complementos, clique no ícone do menu e desmarque a opção "Atualizar Complementos Automaticamente".

    Então, onde isso nos deixa?

    Já determinamos que várias extensões estão sendo atualizadas para incluir código de rastreamento / espionagem, injeção de anúncios e quem sabe o que mais. Eles estão sendo vendidos para empresas não confiáveis, ou os desenvolvedores estão sendo comprados com uma promessa de dinheiro fácil.

    Depois de ter um complemento instalado, não há como saber que eles não estarão incluindo spyware no caminho. Tudo o que sabemos é que há muitos complementos e extensões que estão fazendo essas coisas.

    As pessoas nos pedem uma lista e, como estamos investigando, encontramos tantas extensões fazendo essas coisas, não temos certeza de que podemos fazer uma lista completa de todas elas. Adicionaremos uma lista deles ao tópico do fórum associado a este artigo, para que possamos ajudar a comunidade a gerar uma lista maior.

    Ver a lista completa ou nos dar seu feedback