TL, DR-versio:
- Chromen, Firefoxin ja todennäköisesti muiden selainten lisäosat tarkkailevat jokaista vierailemasi sivua ja lähettää tiedot takaisin kolmannelle osapuolelle, joka maksaa tietosi.
- Jotkin näistä lisäosista sisältävät myös mainoksia sivuille, joita käytit, ja Google nimenomaan sallii tämän jostain syystä, kunhan se "ilmaistaan selkeästi".
- miljoonia ihmisiä seurataan tällä tavalla ja heillä ei ole vihjeitä.
Oletteko virallisesti kutsumme sen spywareiksi? No … se ei ole aivan niin yksinkertainen. Wikipedia määrittelee vakoiluohjelmat "Ohjelmistoa, joka auttaa tietyn tiedon hankkimisessa henkilöstä tai organisaatiosta ja joka voi lähettää tällaisia tietoja toiselle yritykselle ilman kuluttajan suostumusta".Tämä ei tarkoita sitä, että kaikki tietojen keräävä ohjelmisto on välttämättä vakoiluohjelmia, eikä se tarkoita sitä, että kaikki ohjelmistot, jotka lähettävät tietoja palvelimiinsa, ovat välttämättä vakoiluohjelmia.
Mutta kun laajennuksen kehittäjä luopuu kätkemästään siitä, että jokainen vierailemasi sivu talletetaan ja lähetetään yritykselle, joka maksaa kyseiset tiedot, ja haetaan sen asetuksissa nimettömiksi käyttötilastoiksi. on ainakin ongelma. Jokainen kohtuullinen käyttäjä olettaa, että jos kehittäjä haluaa seurata käyttötilastoja, hän vain seuraa itse laajennuksen käyttöä - mutta päinvastoin on totta. Suurin osa näistä laajennuksista seuraa kaikkea muuta mitä teetpaitsi käyttämällä laajennusta. He ovat vain seuraamassasinä.
Tämä tulee vieläkin ongelmallisemmaksi, koska he kutsuvat sitä "anonyymi käyttötilastot "; sana "nimettömänä" tarkoittaa sitä, että olisi mahdotonta selvittää, kuka kyseiset tiedot kuuluvat, ikään kuin ne puhdistaisivat tietosi puhtaiksi. Mutta he eivät ole. Niin, he käyttävät nimettömän tunnuksen, joka edustaa sinua pikemminkin kuin koko nimesi tai sähköpostisi, mutta jokainen vierailemasi sivu on sidottu tähän merkkiin. Niin kauan kuin kyseinen laajennus on asennettu.
Seuraa kenenkään selaushistoriaa kauan, ja voit selvittää tarkalleen, kuka he ovat.
Kuinka monta kertaa olet avannut oman Facebook-profiilisivusi, Pinterest, Google+ tai muu sivu? Oletko koskaan huomannut, miten URL-osoite sisältää nimesi tai jotain, joka tunnistaa sinut? Vaikka et koskaan käynyt mihinkään näistä sivustoista, selvittämällä, kuka olet mahdollista.
En tiedä sinusta, mutta selaushistoria onKaivos,ja kukaan ei saa päästä siihen vaan minuun. Tietokoneissa on salasanat, ja kaikki yli 5-vuotiaat tietävät selaushistoriansa poistamisesta. Se, mitä vierailet internetissä, on hyvin henkilökohtainen, eikä kukaan saa olla luettelon vierailla sivuilla, vaikka minua, vaikka nimeni ei liity nimenomaan luetteloon.
En ole asianajaja, mutta Chrome-laajennusten Google-kehittäjien ohjelmasäännöt sanovat nimenomaan, että laajennussuunnittelijan ei pitäisi sallia julkaista mitään henkilökohtaisia tietojani:
We don’t allow unauthorized publishing of people’s private and confidential information, such as credit card numbers, government identification numbers, driver’s and other license numbers, or any other information that is not publicly accessible.
Miten selaushistoriaani ei ole henkilökohtaisia tietoja? Se ei todellakaan ole julkisesti saatavilla!
Kyllä, monet näistä laajennuksista lisäävät mainoksia liian
Aina kun olet tekemisissä mainosten kanssa, tulee olemaan myös evästeitä. (Huomaa, että tämä sivusto on tuettu mainoksille ja mainostajat asettavat evästeet kiintolevylle, aivan kuten kaikki Internet-sivustot.) Emme usko, että evästeet ovat valtava kauppa, mutta jos teet, ne ovat melko helppo käsitellä.
Mainosohjelmien laajennukset ovat itse asiassa vähemmän ongelmallisia, jos voitte uskoa, sillä se, mitä he tekevät, on hyvin ilmeinen laajennuksen käyttäjille, jotka voivat sitten ryöstää levottomuutta ja yrittää saada kehittäjän lopettamaan. Haluamme ehdottomasti, että Google ja Mozilla muuttaisivat naurettavat politiikkansa kieltääkseen tämän käyttäytymisen, mutta emme voi auttaa heitä saamaan järkevää mieltä.
Seuranta on toisaalta tehty salaa tai se on olennaisesti salaista, koska se yrittää piilottaa sitä, mitä he tekevät legalesissa laajennusten kuvauksessa, eikä kukaan rullaile readme-pohjaan selvittääkseen, onko tämä laajennus menossa seurata ihmisiä.
Tämä vakoilu on piilotettu EULA: n ja tietosuojakäytäntöjen takana
Nämä laajennukset ovat "sallittuja" sitoutumaan tähän seurantaan, koska ne "ilmaisevat" sen kuvaussivullaan tai jossakin vaiheessa niiden valintapaneelissa. Esimerkiksi HoverZoom-laajennuksella, jolla on miljoona käyttäjää, sanoo seuraavassa niiden kuvaussivulla, aivan alareunassa:
Hover Zoom uses anonymous usage statistics. This can be disabled in the options page without losing any features as well. By leaving this feature enabled, the user authorize the collection, transfer and use of anonymous usage data, including but not limited to transferring to third parties.
Missä täsmälleen tässä kuvauksessa selitetään, että he aikovat seurata jokaista sivua, jonka käydät ja lähetät URL-osoitteen takaisin kolmannelle osapuolelle, joka maksaa heilleteidän data? Itse asiassa he väittävät kaikkialla, että heitä sponsoroidaan affiliate-linkkien avulla, jättäen täysin huomiotta sen, että he vakoilevat sinua. Joo, se on oikein, he myös pistää mainoksia kaikkialla paikassa. Mutta mistä pidät enemmän, mainoksessa, joka näkyy sivulla tai joka ottaa sen koko selaushistorian ja lähettää sen takaisin jollekin toiselle?
Tällä laajennuksella on ollut pitkä historia huonosta käyttäytymisestä, joka kestää jonkin aikaa. Kehittäjä on viime aikoina joutunut keräämään selaustietoja mukaan lukien lomaketiedot … mutta hänet myös kiinni viime vuonna myyvät tietoja siitä, mitä olet kirjoittanut toiseen yritykseen. He ovat nyt lisänneet tietosuojakäytännön, joka selittää syvällisemmin, mitä tapahtuu, mutta jos haluat lukea tietosuojakäytäntöä selvittääksesi, että sinua etsitään, sinulla on toinen ongelma.
Yhteenvetona miljoona ihmistä joutuu etsimään tämän yhden laajennuksen yksin. Ja se on vainyksinäistä laajennuksista - on paljon enemmän samaa.
Laajennukset voivat vaihtaa käsiä tai päivittää ilman tietoa
Jotta asiat saataisiin pahentua, monet näistä laajennuksista ovat muuttaneet käsiä viimeisen vuoden aikana - ja jokainen, joka on koskaan kirjoittanut laajennuksen, kärsii pyynnöistä myydä laajennuksensa varjoisille henkilöille, jotka sitten tartuttavat sinut mainoksiin tai vakoilemaan sinut. Koska laajennukset eivät vaadi uusia käyttöoikeuksia, sinulla ei ole koskaan mahdollisuutta mennä selvittämään, mitkä lisäsivät salainen seuranta tietämättäsi.
Tulevaisuudessa sinun on tietenkin joko vältettävä laajennusten tai lisäosien asentamista kokonaan tai oltavaerittäin huolellisesti siitä, mitkä asennat. Jos he pyytävät käyttöoikeuksia kaikelle tietokoneellesi, napsauta Peruuta-painiketta ja suorita.
Piilotettu seurantakoodi kauko-ohjauksella
Testasimme yhden näistä laajennuksista, nimeltään Autocopy Original, tempaamalla se ajattelemalla, että seuranta käyttäytymisen pitäisi olla käytössä, ja pystymme välittömästi näkemään paljastetun datan niiden palvelimiin. Chrome-kaupassa oli 73 laajennusta ja joitakin Firefox-lisäosastoissa. Ne ovat helposti tunnistettavissa, koska ne ovat kaikki "wips.com" tai "wips.com-kumppanit".
Mietitkö, miksi olemme huolissamme seurantakoodista, jota ei ole edes sallittu? Koska niiden kuvaussivu ei sano sanaa seurantakoodista - se on haudattu kunkin laajennuksen valintaruudusta. Joten ihmiset asentavat laajennukset olettaen, että ne ovat laadukkaasta yrityksestä.
Ja se on vain ajan kysymys, ennen kuin seurantakoodi on otettu käyttöön.
Tutkitaan tätä vakoilua laajentavan awfulness
Keskimääräinen henkilö ei koskaan koskaan tiedä, että tämä vakoilu on käynnissä - he eivät näe palvelimelle pyyntöä, heillä ei ole edes tapaa sanoa, että se tapahtuu. Suuri enemmistö miljoonista käyttäjistä ei vaikuta millään tavalla … paitsi että heidän henkilötietojaan varastettiin alhaalta. Joten miten tulkitset tämän itsellesi? Sitä kutsutaan Fiddleriksi.
Fiddler on web-vianmääritystyökalu, joka toimii välityspalveluna ja kätkee kaikki pyynnöt, jotta voit nähdä, mitä tapahtuu. Tämä on työkalu, jota käytimme - jos haluat kopioida kotona, asenna vain yksi näistä vakoilulaajennuksista kuten Hover Zoom ja näet kaksi pyyntöä sivustoille, jotka ovat samankaltaisia kuin t.searchelper.com ja api28.webovernet.com. jokaiselle sivulle, jonka katselet. Jos tarkistat Inspectors-tunnisteen, näet joukon base64-koodattua tekstiä … itse asiassa se on base64-koodattu kahdesti jostain syystä. (Jos haluat koko esimerkkitekstin ennen dekoodausta, olemme säilyttäneet sen tekstitiedostossa).
s=1809&md=21& pid=mi8PjvHcZYtjxAJ&sess=23112540366128090&sub=chrome &q= https%3A//secure.bankofamerica.com/login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Voit pudottaa api28.webovernet.com-sivun ja toisen sivuston selaimeesi, jotta näet, missä he johtavat, mutta säästämme jännitystä: ne ovat itse asiassa uudelleenohjauksia sovellusliittymälle nimeltä Samankaltainen verkko, joka on yksi monista yrityksistä tekemällä tällaista seurantaa ja myymällä tietoja niin, että muut yritykset voivat vakoilla kilpailijoitaan.
Jos olet jännittävää tyyppiä, voit löytää tämän saman seurantakoodin avaamalla kromisi: // laajennussivusi ja napsauttamalla kehittäjätilaa ja valitsemalla sitten Katsella näkymiä: html / background.html tai vastaava teksti, joka kertoo laajennuksen tarkastamisesta. Tämä antaa sinulle mahdollisuuden nähdä, mitä laajennusta käytetään koko ajan taustalla.
Laajennuksen estäminen automaattisesta päivityksestä (lisäasetukset)
Jos haluat silti jatkaa, avaa Laajennukset-paneeli ja etsi laajennuksen tunnus, sitten pääset osoitteeseen% localappdata% google chrome Käyttäjän tiedot oletus Laajennukset ja etsi laajennusosi sisältävä kansio. Muuta update_url-rivi manifest.json-palvelussa, jos haluat korvata clients2.google.com localhostin kanssa.Huomautus:emme ole voineet testata tätä varsinaisella laajennuksella, mutta sen pitäisi toimia.
Joten mistä tämä jättää meidät?
Olemme jo todenneet, että laajennuksia on päivitetty sisältämään seuranta- / vakoilukoodia, injektoimalla mainoksia ja kuka tietää mitä muuta. Niitä myydään epäluotettaville yrityksille, tai kehittäjät ovat ostaneet lupauksen helppoudesta.
Kun sinulla on lisäosa asennettu, ei ole mitään keinoa tietää, että ne eivät tule olemaan vakoiluohjelmia myös tiellä. Tiedämme vain, että on paljon lisäosia ja laajennuksia, jotka tekevät näitä asioita.
Ihmiset ovat pyytäneet meiltä luetteloa, ja olemme tutkinut, että olemme löytäneet niin monia laajennuksia, jotka tekevät näitä asioita, emme ole varmoja, että voimme tehdä täydellisen luettelon kaikista niistä. Lisäämme niiden luettelo tähän artikkeliin liittyvään foorumi-aiheeseen, jotta voimme auttaa yhteisöä luomaan suuremman luettelon.
Tarkastele täydellistä luetteloa tai anna palautetta
