Интернет-конфиденциальность под угрозой: в Google Chrome обнаружили 287 расширений, собирающих историю просмотров
По его данным, к сбору данных могут быть причастны разные компании и структуры, в частности Similarweb , Curly Doggo, Offidocs, ряд китайских компаний, неизвестные дата-брокеры, а также Big Star Labs, которую исследователь называет вероятной дочерней структурой Similarweb.
Как проводилось исследование
Для анализа эксперт создал автоматизированный конвейер тестирования:
-
запускал изолированные экземпляры Chrome;
-
устанавливал отдельные расширения;
-
посещал заранее определенный набор сайтов;
-
фиксировал исходные сетевые соединения.
Тестовая среда работала в контейнере Docker, что позволяло изолированно и последовательно проверять каждое расширение.
Какие риски для пользователей и компаний
По мнению исследователя, массовый сбор истории пересмотров может создавать серьезные риски, в частности:
-
корпоративный шпионаж – через раскрытие внутренних URL-адресов компаний;
-
компрометацию учетных записей – если вместе с URL передаются файлы cookie;
-
отслеживание активных веб-сеансов пользователей.
Эксперт объясняет, что если сетевой трафик расширения возрастает пропорционально длине посещенного URL, это может свидетельствовать о передаче полного веб-адреса или даже HTTP-запроса на удаленный сервер.
Какие категории расширений фигурируют в отчете
Среди расширений с потенциально рискованным поведением инструменты с миллионами пользователей в следующих категориях:
-
VPN и прокси-сервисы;
-
поиск купонов и скидок;
-
PDF-инструменты;
-
браузерные утилиты и блокировщики рекламы.
В отчете упоминаются, в частности:
-
Stylish
-
BlockSite
-
Stay Сфокусированный
-
SimilarWeb
-
WOT: Website Security & Safety Checker
-
Video Ad Blocker Plus для YouTube
-
CrxMouse
Некоторые из них спрашивали широкие кросс-доменные разрешения (host permissions), позволяющие отслеживать навигацию пользователей на разных сайтах.
Попытки скрыть передачу данных
Отдельное внимание исследователь обратил на методы маскировки трафика. Часть расширений использовала:
-
кодирование Base64 и ROT47;
-
сжатие LZ-String;
-
полное шифрование AES-256 с использованием RSA-OAEP.
После расшифровки, по словам эксперта, была обнаружена передача «сырых» URL-адресов поиска Google, реферальных страниц, идентификаторов пользователей и временных меток на частные домены и облачные инфраструктуры.
Не все случаи - злонамеренные
В то же время исследователь подчеркнул, что не все расширения с передачей истории просмотров обязательно преступны. В некоторых случаях сбор данных может являться частью функционала, например для сервисов безопасности или аналитики.
Он также отметил, что часть ошибочных срабатываний пришлось вручную исключать из результатов автоматического сканирования.
Отчет содержит список URL расширений в Chrome Web Store и информацию о компаниях, связанных с их разработкой.
Ранее мы публиковали статью авторитетного мирового издания, в которой говорилось, почему нужно немедленно прекратить пользоваться Google Chrome.
]]>