TL, DR versija:
- Pārlūkprogrammas Chrome, Firefox un, iespējams, citu pārlūkprogrammu papildinājumi izseko katru lapu, kuru apmeklējat, un nosūta šos datus trešajām personām, kas tos maksā par jūsu informāciju.
- Daži no šiem papildinājumiem arī injicē reklāmas uz jūsu apmeklētajām lapām, un Google to konkrēti pieļauj, ja vien tas ir "skaidri nodalīts".
- Miljoni no cilvēkiem tiek izsekota tādā veidā, un viņiem nav pavedieni.
Vai mēs oficiāli to saucam par spiegprogrammatūru? Nu … tas nav tik vienkārši. Wikipedia definē spiegprogrammatūru kā "Programmatūra, kas palīdz viņiem iegūt informāciju par kādu personu vai organizāciju bez viņu zināšanām un kas var nosūtīt šādu informāciju citai personai bez patērētāja piekrišanas".Tas nenozīmē, ka visa programmatūra, kas apkopo datus, noteikti ir spiegprogrammatūra, un tas nenozīmē, ka visa programmatūra, kas nosūta datus atpakaļ saviem serveriem, noteikti ir spiegprogrammatūra.
Bet, ja paplašinājuma izstrādātājs neļauj viņiem slēpt faktu, ka katru lapu, kuru jūs apmeklējat, tiek glabāta un nosūtīta korporācijai, kas tos samaksā par šiem datiem, to apglabājot iestatījumos kā "anonīmu lietošanas statistiku", tur ir problēma, vismaz. Jebkurš saprātīgs lietotājs pieņem, ka, ja izstrādātājs vēlas izsekot lietojuma statistiku, viņi tikai sekos paša paplašinājuma izmantošanai - bet pretēji ir taisnība. Lielākā daļa no šiem paplašinājumiem izseko visu citu, ko jūs darātizņemot izmantojot pagarinājumu. Tie ir tikai izsekošanatu
Tas kļūst vēl problemātiskāk, jo to sauc par "Anonīms izmantošanas statistika "; vārds "anonīms" nozīmē, ka nebūtu iespējams noskaidrot, kurš no šiem datiem pieder, it kā tie tīrītu datus no visas jūsu informācijas. Bet tie nav. Jā, protams, viņi izmanto anonīmu tokonu, kas pārstāv jūs, nevis jūsu vārdu vai e-pastu, bet katra apmeklētā lapa ir saistīta ar šo pilnvaru. Tik ilgi, kamēr šis paplašinājums ir instalēts.
Izsekojiet kāda pārlūkošanas vēsturi pietiekami ilgi, un jūs varat precīzi noskaidrot, kas viņi ir.
Cik reizes esat atvēris savu Facebook profila lapu vai savu Pinterest, Google+ vai citu lapu? Vai kādreiz esat pamanījuši, kā URL satur jūsu vārdu vai kaut ko, kas jūs identificē? Pat ja jūs nekad neesat apmeklējis kādu no šīm vietnēm, ir iespējams noteikt, kas jūs esat.
Es nezinu par tevi, bet mana pārlūkošanas vēsture irraktuvesun neviens nedrīkst piekļūt šim, bet man. Ir iemesls, kāpēc datoriem ir paroles, un ikviens, kas ir vecāks par 5 gadiem, zina par pārlūka vēstures dzēšanu. Ko jūs apmeklējat internetā, ir ļoti personiska, un nevienam nedrīkst būt to lapu saraksts, kuru apmeklēju, bet es, pat ja mans vārds nav īpaši saistīts ar sarakstu.
Es neesmu advokāts, taču Chrome paplašinājumu Google izstrādātāju programmas politikas īpaši norāda, ka paplašinājuma izstrādātājam nevajadzētu atļaut publicēt jebkuru manu personīgo informāciju:
We don’t allow unauthorized publishing of people’s private and confidential information, such as credit card numbers, government identification numbers, driver’s and other license numbers, or any other information that is not publicly accessible.
Tieši kā mana pārlūkošanas vēsture nav personiska informācija? Tas noteikti nav publiski pieejams!
Jā, daudzi no šiem paplašinājumiem ievieto reklāmas pārāk
Katru reizi, kad jūs nodarbojat ar reklāmām, tiek iesaistīti arī sīkfaili. (Jāatzīmē, ka šī vietne ir atbalstīta reklāmas tīklā, un reklāmdevēji cietajā diskā ievieto sīkdatnes, tāpat kā katra interneta vietne.) Mēs nedomājam, ka sīkfaili ir milzīgs darījums, bet, ja jūs to darāt, tie ir diezgan viegli tikt galā ar.
Adware paplašinājumi faktiski ir mazāk problēmu, ja jūs to varat ticēt, jo tas, ko viņi dara, ir ļoti skaidrs paplašinājuma lietotājiem, kuri pēc tam var sākt satraukumu par to un mēģināt panākt, lai izstrādātājs pārtrauktu. Mēs noteikti vēlamies, lai Google un Mozilla mainītu savas smieklīgās politikas, lai aizliegtu šādu rīcību, taču mēs nevaram palīdzēt viņiem saprast veselo saprātu.
No otras puses, izsekošana tiek veikta slepenībā vai būtībā ir slepena, jo paplašinājumu aprakstā viņi mēģina paslēpt to, ko viņi dara legalese, un neviens nerīko atpakaļ lasīšanas apakšdaļā, lai noskaidrotu, vai šis paplašinājums ir gatavojas izsekot cilvēkiem.
Šī spying ir slēpta aiz EULA un konfidencialitātes politiku
Šie paplašinājumi ir "atļauti" iesaistīties šajā uzskaites darbībā, jo tie "izpauž" to apraksta lapā vai kādā brīdī to opciju panelī. Piemēram, HoverZoom paplašinājums, kuram ir miljons lietotāju, apraksta zemāk:
Hover Zoom uses anonymous usage statistics. This can be disabled in the options page without losing any features as well. By leaving this feature enabled, the user authorize the collection, transfer and use of anonymous usage data, including but not limited to transferring to third parties.
Kur tieši šajā aprakstā tas paskaidro, ka viņi seko katrai apmeklētajai lapai un nosūta URL atpakaļ trešai pusei, kas tos maksātava dati? Faktiski viņi visur apgalvo, ka viņi tiek sponsorēti ar filiāļu saitēm, pilnībā ignorējot faktu, ka viņi spiegu pie jums. Jā, tas ir pareizi, viņi arī injicē reklāmas visā vietā. Bet kas jums par to jārūpējas, kāda ir reklāma, kas tiek rādīta lapā, vai arī tie ņem visu jūsu pārlūkošanas vēsturi un nosūta to atpakaļ kādam citam?
Šim konkrētajam pagarinājumam jau ilgu laiku bija slikta uzvedība, kas dodas atpakaļ diezgan ilgu laiku. Attīstītājs pēdējā laikā ir nozvejots pārlūkošanas datu apkopošanā tostarp veidlapu datiem … bet pagājušajā gadā viņš tika nozvejots arī, pārdodot datus par to, ko jūs ierakstījāt citā uzņēmumā. Tagad viņi ir pievienojuši konfidencialitātes politiku, kas padziļināti paskaidro, kas notiek, bet, ja jums ir jāizlasa konfidencialitātes politika, lai noskaidrotu, ka jūs esat piespiests, jums ir vēl viena problēma.
Rezumējot, šis viens pagarinājums vien ir spiedināts uz miljonu cilvēku. Un tas ir vienkāršivienuno šiem paplašinājumiem - ir daudz vairāk dara to pašu.
Paplašinājumi var mainīt rokas vai atjaunināt bez jūsu zināšanām
Sliktāk, daudzi no šiem paplašinājumiem pagājušajā gadā ir mainījušies, un ikviens, kurš kādreiz ir uzrakstījis paplašinājumu, tiek pārpludināts ar pieprasījumiem pārdot savu paplašinājumu shady personām, kas pēc tam jūs inficēs ar reklāmām vai spiedīs pie jums. Tā kā paplašinājumiem nav nepieciešamas jaunas atļaujas, jums nekad nebūs iespējas uzzināt, kuras no tām pievienoja slepeno izsekošanu bez jūsu zināšanām.
Nākotnē, protams, vai nu pilnīgi nevajadzētu instalēt paplašinājumus vai papildinājumus, vai arī būtļoti uzmanīgi par to, kuras instalējat. Ja viņi prasa atļauju visam jūsu datorā, jums vajadzētu uzklikšķināt uz pogas Atcelt un palaist.
Slēpts izsekošanas kods ar tālvadības iespējošanas slēdzi
Faktiski ir arī citi paplašinājumi, no kuriem daudzi ir tie, kuriem ir pilnīgi izveidots izsekošanas kods, bet šis kods pašlaik ir atspējots. Šie paplašinājumi ping atpakaļ uz serveri ik pēc 7 dienām, lai atjauninātu savu konfigurāciju. Šie ir konfigurēti, lai nosūtītu vēl vairāk datu - viņi precīzi aprēķina, cik ilgi katra cilne ir atvērta, un cik ilgi jūs tērējat katrā vietnē.
Mēs izmēģinājām vienu no šiem paplašinājumiem, ko sauc par Autocopy Original, liekot domāt, ka izsekošanas uzvedībai vajadzēja būt iespējotai, un mēs varējām uzreiz redzēt tonnu datus, kas nosūtīti atpakaļ to serveriem. Chrome veikalā bija 73 paplašinājumi, bet daži - Firefox pievienojumprogrammu veikalā. Tie ir viegli identificējami, jo tie visi ir no "wips.com" vai "wips.com partneriem".
Vai vēlaties uzzināt, kāpēc mēs esam noraizējušies par izsekošanas kodu, kurš vēl nav aktivizēts? Tā kā to apraksta lapā nav teikts neviens vārds par izsekošanas kodu, tas tiek apglabāts kā izvēles rūtiņa katrā no saviem paplašinājumiem. Tāpēc cilvēki instalē paplašinājumus, pieņemot, ka tie ir no kvalitatīvas kompānijas.
Un tas ir tikai laika jautājums, pirms šis izsekošanas kods ir iespējots.
Izmeklē šo spiegošanas pagarinājumu vilšanos
Vidusmēra cilvēks nekad pat nezina, ka šī spiegošana notiek - viņi neredzēs servera pieprasījumu, viņiem pat nebūs veids, kā pateikt, ka tas notiek. Lielākā daļa no šiem miljoniem lietotāju nekādā veidā netiks ietekmēti … izņemot to, ka viņu personas dati tika nozagti no tām. Tātad, kā jūs to saprotat par sevi? To sauc par Fiddler.
Fiddler ir tīmekļa atkļūdošanas rīks, kas darbojas kā starpniekserveris un saglabā visus pieprasījumus, lai jūs varētu redzēt, kas notiek. Šis ir rīks, ko mēs izmantojām - ja vēlaties to kopēt mājās, vienkārši instalējiet kādu no šīm spiegošanas paplašinājumiem, piemēram, Hover Zoom, un jūs sāksit redzēt divus pieprasījumus uz vietnēm, kas ir līdzīgas t.searchelper.com un api28.webovernet.com. par katru lapu, kuru skatāties. Ja jūs pārbaudīsit inspektoru tagu, jūs redzēsiet bāzi ar kodolu saturošu tekstu … patiesībā, tas kādreiz ir bijis bāzes 64 kodēts. (Ja vēlaties pilnīgu teksta piemēru pirms atkodēšanas, šeit mēs to ievietojām teksta failā).
s=1809&md=21& pid=mi8PjvHcZYtjxAJ&sess=23112540366128090&sub=chrome &q= https%3A//secure.bankofamerica.com/login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Jūs varat nokļūt api28.webovernet.com un citā vietnē savā pārlūkprogrammā, lai redzētu, kur tās novirzīt, taču mēs ietaupīsim pagaidu lietojumu: tie patiešām ir novirzīti uz API, kas tiek izmantots uzņēmumam called Similar Web, kas ir viens no daudziem uzņēmumiem veicot šāda veida izsekošanu, un pārdodot datus, lai citi uzņēmumi varētu spiegot par to, ko dara viņu konkurenti.
Ja esat piedzīvojumu veids, varat viegli atrast to pašu izsekošanas kodu, atverot savu hroma: // paplašinājumu lapu un noklikšķinot uz Izstrādātāja režīma, un pēc tam - "Pārskatīt vaicājumus: html / background.html" vai līdzīgu tekstu, kas lūdz jums pārbaudīt pagarinājumu. Tas ļaus jums redzēt, kāds šis paplašinājums fona laikā darbojas visu laiku.
Automātiskā atjauninājuma novēršana (papildu)
Ja vēl vēlaties to izdarīt, atveriet paplašinājumu paneli, atrodiet paplašinājuma ID, pēc tam dodieties uz% localappdata% google chrome User Data default Extensions un atrodiet mapi, kurā ir jūsu paplašinājums. Mainīt line update_url manifest.json, lai aizstātu customers2.google.com ar localhost.Piezīme:mēs to vēl neesam spējuši pārbaudīt ar faktisko paplašinājumu, bet tam vajadzētu strādāt.
Tātad, kur tas atstāj mūs?
Mēs esam jau konstatējuši, ka daudzi paplašinājumi tiek atjaunināti, iekļaujot izsekošanas / spiegošanas kodu, injicējot reklāmas un kas zina, kas vēl. Tie tiek pārdoti neuzticamiem uzņēmumiem, vai izstrādātāji tiek nopirkti, apsolot vieglu naudu.
Kad esat izveidojis pievienojumprogrammu, nav nekādu iespēju uzzināt, ka tie netiks iekļauti spiegprogrammatūrā pa ceļu. Viss, ko mēs zinām, ir tas, ka ir daudz pievienojumprogrammu un paplašinājumu, kas šīs lietas dara.
Cilvēki ir lūguši mums sarakstu, un, kā mēs esam pētījuši, esam atraduši tik daudz paplašinājumu, kas dara šīs lietas, taču mēs neesam pārliecināti, ka varam izveidot pilnīgu visu to sarakstu. Mēs pievienosim to sarakstu foruma tēmai, kas ir saistīta ar šo rakstu, tāpēc mēs varam, lai šī kopiena palīdzētu mums izveidot lielāku sarakstu.
Skatiet pilnu sarakstu vai dodiet mums savu atsauksmi