Varning dina webbläsarutökningar spionerar på dig
Internet exploderade fredag med nyheterna att Google Chrome-tillägg säljs och injiceras med adware. Men det lite kända och mycket viktigare faktumet är att dina tillägg spionerar på dig och säljer din surfhistorik till skuggiga företag. HTG undersöker.
TL; DR version:
- Webbläsartillägg för Chrome, Firefox och förmodligen andra webbläsare spårar varje enskild sida du besöker och skickar den data tillbaka till ett tredjepartsföretag som betalar dem för din information.
- Några av dessa tillägg sprutar även annonser till sidorna som du besöker, och Google tillåter det specifikt av någon anledning så länge det är "klart avslöjat".
- miljontals av människor spåras på detta sätt och de har ingen aning.
Anropar vi det officiellt spionprogram? Tja ... det är inte så enkelt. Wikipedia definierar spionprogram som "Programvara som hjälper till att samla information om en person eller organisation utan deras kunskaper och som kan skicka sådan information till en annan enhet utan konsumentens samtycke". Det betyder inte att all programvara som samlar data är nödvändigtvis spionprogram, och det betyder inte att all programvara som skickar data tillbaka till sina servrar är nödvändigtvis spionprogram.
Men när utvecklaren av en förlängning går ut ur deras sätt att dölja det faktum att varje enskild sida du besöker lagras och skickas till ett företag som betalar dem för de uppgifterna medan du begraver det i inställningarna som "anonym användarstatistik", där är ett problem, åtminstone. En rimlig användare skulle anta att om en utvecklare vill spåra användarstatistik kommer de bara att spåra användningen av förlängningen själv - men motsatsen är sant. De flesta av dessa tillägg spårar allt annat du gör bortsett från använder förlängningen. De spårar bara du.
Detta blir ännu mer problematiskt eftersom de kallar det "anonym användarstatistik "; Ordet "anonyma" innebär att det skulle vara omöjligt att ta reda på vem dessa data tillhör, som om de skrubber dataens rena av all din information. Men det är de inte. Ja, säkert, de använder en anonym token för att representera dig snarare än ditt fulla namn eller e-post, men varje enskild sida du besöker är knuten till den token. Så länge du har den förlängningen installerad.
Spåra någons surfhistorik tillräckligt länge, och du kan räkna ut exakt vem de är.
Hur många gånger har du öppnat din egen Facebook-profilsida, eller din Pinterest, Google+ eller annan sida? Har du någonsin märkt hur webbadressen innehåller ditt namn eller något som identifierar dig? Även om du aldrig besökt någon av dessa platser kan du bestämma vem du är är möjlig.
Jag vet inte om dig, men min surfhistorik är mina, och ingen borde ha tillgång till det men jag. Det finns en anledning till att datorer har lösenord och alla äldre än 5 vet hur de tar bort webbläsarens historia. Vad du besöker på internet är väldigt personligt, och ingen ska ha listan över sidor jag besöker men jag, även om mitt namn inte är specifikt förknippat med listan.
Jag är inte en advokat, men programutvecklingsprogram för Google utvecklare för Chrome-tillägg säger särskilt att en utvecklingsprogram inte får publicera någon av mina personuppgifter:
Vi tillåter inte obehörig publicering av människors privata och konfidentiella uppgifter, såsom kreditkortsnummer, myndighetsidentifikationsnummer, förarens och andra licensnummer eller annan information som inte är tillgänglig för allmänheten.
Exakt hur är min surfhistorik inte personlig information? Det är definitivt inte offentligt tillgängligt!
Ja, många av dessa tillägg sätter in annonser också
Problemet fördjupas av ett stort antal förlängningar som sprutar annonser till många av de sidor du besöker. Dessa tillägg sätter bara sina annonser där de slumpmässigt väljer att placera dem i sidan, och de behöver bara inkludera en liten bit text som identifierar var annonsen kom ifrån, vilket de flesta kommer att ignorera, eftersom de flesta inte ens titta på annonser.
Närhelst du hanterar annonser, kommer det också att vara cookies involverade. (Det är värt att notera att den här webbplatsen är annonssupportad och annonsörerna lägger cookies på hårddisken, precis som varje webbplats på internet.) Vi tror inte att cookies är en stor sak, men om du gör det, är de vackra lätt att hantera.
Adware-tilläggen är faktiskt mindre av ett problem, om du kan tro det, för det som de gör är mycket uppenbart för användarna av utbyggnaden, som sedan kan starta en uppror om det och försöka få utvecklaren att sluta. Vi önskar definitivt att Google och Mozilla skulle ändra sin löjliga politik för att förbjuda det beteendet, men vi kan inte hjälpa dem att få sunt förnuft.
Spårning sker däremot i hemlighet eller är väldigt hemlig eftersom de försöker dölja vad de gör i juridiska frågor i beskrivningen av tilläggen, och ingen rullar till botten av readme för att ta reda på om den förlängningen är kommer att spåra människor.
Denna spion är dold bakom EULA och sekretesspolicyer
Dessa tillägg är "tillåtna" för att delta i detta spårningsbeteende eftersom de "avslöjar" det på deras beskrivningssida, eller någon gång i deras alternativpanel. Till exempel, HoverZoom-förlängningen, som har en miljon användare, säger följande i deras beskrivningssida, längst ner:
Hover Zoom använder anonym användarstatistik. Det här kan inaktiveras på alternativsidan utan att förlora några funktioner. Genom att lämna denna funktion aktiverad tillåter användaren att samla, överföra och använda anonym användningsdata, inklusive men inte begränsat till överföring till tredje part.
Där exakt i den här beskrivningen förklaras det att de ska spåra varje enskild sida du besöker och skicka URL-adressen till en tredje part, vilket betalar dem för din data? Faktum är att de hävdar överallt att de sponsras genom affiliate länkar, helt ignorerar det faktum att de spionerar på dig. Ja, det är rätt, de sprutar också annonser överallt. Men vilken bryr du dig mer om, en annons som visas på en sida, eller om du tar hela din surfhistorik och skickar den tillbaka till någon annan?
Hoverzoys ursäkta panelDe kan komma undan med det här eftersom de har en liten liten kryssruta begravd i deras alternativpanel som säger "Aktivera anonym användningsstatistik" och du kan inaktivera den "funktionen" - men det är värt att notera att det är fel att kontrollera.
Denna speciella förlängning har haft en lång historia av dåligt beteende, går tillbaka ganska länge. Utvecklaren har nyligen fångats för att samla in webbläsningsdata Inklusive formulär data ... men han blev också fångad förra året att sälja data om vad du skrev in till ett annat företag. De har lagt till en sekretesspolicy nu som förklarar i ytterligare djup vad som händer, men om du måste läsa en sekretesspolicy för att räkna ut att du blir spionerad, har du ett annat problem.
Sammanfattningsvis betraktas en miljon människor ensamt av den här förlängningen. Och det är bara ett av dessa förlängningar - det finns mycket mer som gör samma sak.
Extensions kan ändra händer eller uppdatera utan din kunskap
Denna förlängning ber om sätt för många behörigheter. Förneka!Det är absolut inget sätt att veta när en förlängning har uppdaterats för att inkludera spionprogram, och eftersom många typer av tillägg behöver ett antal behörigheter för att till och med fungera ordentligt i första hand innan de blir till adjektionsdelar av spycraft så du vann t bli uppmanad när den nya versionen kommer ut.
För att göra saken värre har många av dessa förlängningar ändrats under det senaste året - och någon som någonsin har skrivit en förlängning översväms med förfrågningar om att sälja förlängningen till skuggiga individer, som sedan smittar dig med annonser eller spionerar på dig. Eftersom utvidgningarna inte kräver några nya behörigheter får du aldrig möjlighet att ta reda på vilka som lägger till hemlig spårning utan din kunskap.
I framtiden ska du naturligtvis antingen undvika att installera tillägg eller tillägg helt eller var mycket noga med vilka du installerar. Om de ber om tillstånd till allt på din dator, bör du klicka på Avbryt-knappen och köra.
Dold spårningskod med en fjärrkontroll
Det finns andra tillägg, faktiskt ett ton av dem, som har fullständig spårningskod byggd precis in - men den koden är för närvarande inaktiverad. Dessa tillägg pingar tillbaka till servern var 7: e dag för uppdatering av deras konfiguration. Dessa är konfigurerade för att skicka ännu mer data tillbaka - de beräknar exakt hur länge du har varje flik öppen och hur länge du spenderar på varje sida.
Vi testade en av dessa tillägg, kallad Autocopy Original, genom att lura den för att tro att spårningsbeteendet skulle vara aktiverat, och vi kunde genast se en massa data som skickades tillbaka till sina servrar. Det fanns 73 av dessa tillägg i Chrome Store och några i Firefox-tilläggshandlaren. De är lätt identifierbara eftersom de är alla från "wips.com" eller "wips.com partners".
Undrar varför vi är oroliga över spårningskoden som inte ens är aktiverad än? Eftersom deras beskrivningssida inte säger ett ord om spårningskoden - det är begraven som en kryssruta på varje av deras extensions. Så folk installerar förlängningarna förutsatt att de är från ett kvalitetsföretag.
Och det är bara en fråga om tid innan spårningskoden är aktiverad.
Undersökande av denna Spionförlängning
Den genomsnittliga personen kommer aldrig ens att veta att detta spionering pågår - de kommer inte att se en begäran till en server, de kommer inte ens att få ett sätt att berätta att det händer. Den stora majoriteten av de miljoner användare kommer inte att påverkas på något sätt ... förutom att deras personuppgifter har stulits under dem. Så hur räknar du ut det här själv? Den heter Fiddler.
Fiddler är ett verktyg för webbdeblockering som fungerar som en proxy och caches alla begäranden så att du kan se vad som händer. Detta är verktyget som vi använde - om du vill kopiera hemma, installera bara en av dessa spiontillägg som Hover Zoom, så börjar du se två förfrågningar på webbplatser som liknar t.searchelper.com och api28.webovernet.com för varje enskild sida som du visar. Om du tittar på inspektörstaggen ser du en massa bas64-kodad text ... faktiskt har den basics-kodats två gånger av någon anledning. (Om du vill ha hela exemplet texten före avkodning stashed vi det i en textfil här).
De spårar alla webbplatser du besöker, även de som HTTPSNär du väl har avkodat den texten ser du exakt vad som händer. De skickar tillbaka den aktuella sidan som du besöker, tillsammans med föregående sida och ett unikt ID för att identifiera dig och annan information. Det mycket skrämmande med det här exemplet är att jag var på min banksida då, vilket är SSL-krypterat med HTTPS. Det är rätt, dessa tillägg spårar dig fortfarande på webbplatser som ska krypteras.
s = 1809 & md = 21 &pid = mi8PjvHcZYtjxAJ& Sess = 23112540366128090 & sub = krom
& Q =https% 3A // secure.bankofamerica.com / login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A/ /secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Du kan släppa api28.webovernet.com och den andra webbplatsen i din webbläsare för att se var de leder, men vi sparar spänningen: de är faktiskt omdirigeringar för API för ett företag som heter Liknande Web, vilket är ett av många företag gör denna typ av spårning och säljer data så andra företag kan spionera på vad deras konkurrenter gör.
Om du är den äventyrliga typen kan du enkelt hitta samma spårningskod genom att öppna din chrome: // extensions-sida och klicka på utvecklarläget och sedan "Inspektera visningar: html / background.html" eller liknande text som berättar att du inspekterar förlängningen. Detta kommer att låta dig se vad den här utvidgningen kör hela tiden i bakgrunden.
Den papperskorgen kan vara din vänNär du väl har klickat på inspektionen ser du omedelbart en lista över källfiler och alla andra saker som förmodligen kommer att vara grekiska till dig. De viktiga sakerna i det här fallet är de två filerna heter tr_advanced.js och tr_simple.js. Dessa innehåller spårningskoden, och det är säkert att säga att om du ser dessa filer inuti en förlängning, blir du spionerad på eller kommer att spioneras vid någon tidpunkt. Vissa utvidgningar innehåller olika spårningskod, såklart, så bara för att ditt tillägg inte har dem, betyder ingenting. Svindlar tenderar att vara knepiga.
(Observera att vi paketerade källkoden för att passa in i fönstret)Du kommer nog att märka att webbadressen till höger inte är helt densamma som den tidigare. Den faktiska spårningskällkoden är ganska komplicerad, och det verkar som att varje tillägg har en annan spårningsadress.
Förhindra en förlängning från uppdatering automatiskt (avancerat)
Om du har en förlängning som du känner och litar på, och du redan har verifierat att den inte innehåller något dåligt, kan du se till att utbyggnaden aldrig uppdaterar dig hemligt med spionprogram - men det är verkligen manuell och förmodligen inte vad du vill göra.
Om du fortfarande vill göra det, öppna panelen Tillägg, hitta namnet på tillägget och gå sedan till% localappdata% \ google \ chrome \ Användardata \ standard \ Extensions och hitta den mapp som innehåller ditt tillägg. Ändra update_url-raden i manifest.json för att ersätta clients2.google.com med localhost. Notera: Vi har inte kunnat testa detta med en faktisk förlängning än, men det borde fungera.
För Firefox är processen mycket enklare. Gå till skärmen tillägg, klicka på menyikonen och avmarkera "uppdatera tillägg automatiskt".
Så var lämnar vi oss?
Vi har redan fastställt att massor av tillägg uppdateras för att inkludera spårning / spioneringskod, injicera annonser och vem vet vad mer. De säljs till otillförlitliga företag, eller utvecklarna köps med ett löfte om lätta pengar.
När du har installerat ett tillägg, kan du inte veta att de inte kommer att inkludera spionprogram på vägen. Allt vi vet är att det finns många tillägg och tillägg som gör dessa saker.
Människor har frågat oss om en lista, och som vi har undersökt har vi hittat så många tillägg som gör dessa saker, vi är inte säkra på att vi kan göra en komplett lista över dem alla. Vi lägger till en lista med dem i forumt ämnet som är kopplat till den här artikeln, så vi kan få samhället att hjälpa oss att skapa en större lista.
Visa hela listan eller ge oss din feedback