“Стилно” разширение с 2M изтегляния, забранено за проследяване на всяко посещение на сайта

„Резултатите Увеличи / Google резултати изпратени до отдалечени сървъри.Робърт Хийтън

Google, Mozilla и Opera изтеглиха разширение за браузър със повече от два милиона изтегляния, след като беше хваната да проследява всеки уебсайта, който потребителите посещават – и изпращане на данните на дистанционно сървър.

Стилното разширение позволи на потребителите да персонализират външния вид и усещане за уебсайтове по различни начини. Освен всичко друго, можеше премахнете елементарно като Facebook или Twitter новини, променете нормални снимки до черно-бели манга изображения и промяна черно-бели теми на сайта до бели върху черни теми. Започвайки това година, Stylish започна да изпълнява тези полезни функции на високо цена: според софтуерния инженер Робърт Хийтън, разширението започна да изпраща пълната активност на сърфиране на потребителите обратно към своята сървъри по подразбиране, заедно с уникален идентификатор, който в много случаите могат да бъдат използвани за съпоставяне на имейл адреси или друг Интернет атрибути, принадлежащи на тези потребители.

Актуализирана Стилна политика за поверителност разкри, че разширението събрани истории на сърфиране. Версията, публикувана през май, за Например, каза, че информацията включва „стандартен уеб сървър информация в дневника (т.е. уеб заявка), както и изпратени данни отговор на тази заявка, като използван URL адрес, Интернет протокол адрес (подрязан и хеширан за анонимност), HTTP референт и потребителски агент. ”Различни статии от януари 2017 г. също отбелязаха проследяване, но, цитирайки нов собственик на разширението, тези статии каза, че това ще бъде анонимно. (Това въпреки факта, че много URL адреси, особено когато се съхраняват в големи количества за дълъг период от време, може да направи болезнено очевидно кой индивид гледа тях.)

Хийтън използва инструмент за тестване на сигурността, наречен Burp Suite, за да анализира точно това, което Stylish правеше. Той откри, че тя изпраща голяма количество неясни данни на userstyles.org, уебсайт под контрол на новия стилен собственик. Хийтън бързо измисли как да го направи декодира данните и откри, че съдържа тревожно количество подробности, включително всеки посетен от него URL адрес, действителното търсене с Google резултат от прозореца на браузъра му и по подразбиране уникален идентификатор (въпреки че това може да бъде премахнато чрез промяна на настройка).

Хийтън каза, че Stylish събира историите на браузъра от потребители на Chrome от януари 2017 г. и от потребители на Firefox оттогава Март. Въпреки че колекцията беше разкрита, тя до голяма степен избяга известието на Google, Mozilla и Opera – да не говорим за повече от два милиона крайни потребители – докато Хийтън не го документира. Длъжностни лица с Стилен не отговори веднага на молба за коментар за това пост.

Епизодът е последното напомняне, че разширенията на браузъра идват на цена, както по отношение на данните, които могат да събират, така и на увеличена повърхност за атака, която могат да осигурят на хакерите. Събитието изяснява, че производителите на браузъри прилагат минимален контрол върху разширения, които са домакини. Потребителите, които са съобразени със сигурността, трябва да използват разширения умерено, особено за тези, които предлагат минимални изгода. За тези потребители, които искат да пренебрегнат този съвет и да го използват разширение, което предлага същите функции като Stylish, Heaton препоръчва Stylus.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: