Das Internet explodierte am Freitag mit der Nachricht, dass Google Chrome-Erweiterungen werden verkauft und mit Adware injiziert. Aber die wenig bekannte und viel wichtigere Tatsache ist, dass Ihre Erweiterungen Sie ausspionieren und Ihren Browserverlauf an zwielichtige Unternehmen verkaufen. HTG ermittelt.
TL;DR-Version:
- Browser-Add-Ons für Chrome, Firefox und wahrscheinlich andere Browser verfolgen jede einzelne Seite, die Sie besuchen, und senden diese Daten an ein Drittunternehmen zurück, das sie für Ihre Informationen bezahlt.
- Einige dieser Add-Ons fügen auch Anzeigen in die von Ihnen besuchten Seiten ein, und Google erlaubt dies ausdrücklich aus irgendeinem Grund, solange es „eindeutig offengelegt“ wird.
- der Leute werden auf diese Weise verfolgt und haben keine Ahnung.
Nennen wir es offiziell Spyware? Nun… ganz so einfach ist es nicht. Wikipedia definiert Spyware asDas bedeutet nicht, dass jede Software, die Daten sammelt, notwendigerweise Spyware ist, und es bedeutet nicht, dass jede Software, die Daten an ihre Server zurücksendet, notwendigerweise Spyware ist.
Aber wenn der Entwickler einer Erweiterung alles daran setzt, die Tatsache zu verbergen, dass jede einzelne von Ihnen besuchte Seite gespeichert und an ein Unternehmen gesendet wird, das sie für diese Daten bezahlt und sie in den Einstellungen als «anonyme Nutzungsstatistik» verbirgt, gibt es ist zumindest ein Problem. Jeder vernünftige Benutzer würde annehmen, dass ein Entwickler, wenn er Nutzungsstatistiken verfolgen möchte, nur die Nutzung der Erweiterung selbst verfolgt – aber das Gegenteil ist der Fall. Die meisten dieser Erweiterungen verfolgen alles andere, was Sie mit der Erweiterung tun. Sie verfolgen nur
Dies wird noch problematischer, weil sie es „Nutzungsstatistik“ nennen; Das Wort „anonym“ impliziert, dass es unmöglich wäre herauszufinden, wem diese Daten gehören, als ob sie alle Ihre Informationen bereinigen würden. Aber sie sind es nicht. Ja, sicher, sie verwenden ein anonymes Token, um Sie zu repräsentieren, und nicht Ihren vollständigen Namen oder Ihre E-Mail-Adresse, aber jede einzelne Seite, die Sie besuchen, ist an dieses Token gebunden. Solange Sie diese Erweiterung installiert haben.
Verfolgen Sie den Browserverlauf jeder Person lange genug, und Sie können genau herausfinden, wer sie sind.
Wie oft haben Sie Ihre eigene Facebook-Profilseite oder Ihre Pinterest-, Google+- oder andere Seite geöffnet? Ist Ihnen schon einmal aufgefallen, dass die URL Ihren Namen oder etwas, das Sie identifiziert, enthält? Selbst wenn Sie noch nie eine dieser Websites besucht haben, ist es möglich, herauszufinden, wer Sie sind.
Ich weiß nicht, wie es Ihnen geht, aber mein Browserverlauf ist und niemand außer mir sollte darauf Zugriff haben. Es gibt einen Grund, warum Computer Passwörter haben und jeder, der älter als 5 Jahre ist, weiß, wie man seinen Browserverlauf löschen kann. Was Sie im Internet besuchen, ist sehr persönlich, und niemand außer mir sollte die Liste der von mir besuchten Seiten haben, auch wenn mein Name nicht speziell mit der Liste verbunden ist.
Ich bin kein Jurist, aber in den Google-Programmrichtlinien für Entwickler für Chrome-Erweiterungen heißt es ausdrücklich, dass ein Entwickler von Erweiterungen keine meiner personenbezogenen Daten veröffentlichen darf:
Inwiefern ist mein Browserverlauf keine personenbezogenen Daten? Es ist definitiv nicht öffentlich zugänglich!
Ja, viele dieser Erweiterungen fügen auch Anzeigen ein
Das Problem wird durch eine große Anzahl von Erweiterungen verschlimmert, die Anzeigen in viele der von Ihnen besuchten Seiten einfügen. Diese Erweiterungen platzieren ihre Anzeigen einfach dort, wo sie sie zufällig auf der Seite platzieren möchten, und sie müssen nur einen kleinen Text einfügen, der angibt, woher die Anzeige stammt, was die meisten Leute ignorieren, weil die meisten Leute es nicht einmal schau dir Anzeigen an.
Immer wenn Sie mit Anzeigen zu tun haben, werden auch Cookies verwendet. (Es ist erwähnenswert, dass diese Site werbefinanziert ist und die Werbetreibenden Cookies auf Ihrer Festplatte speichern, genau wie jede Site im Internet.) Wir glauben nicht, dass Cookies eine große Sache sind, aber wenn Sie es tun, sind sie hübsch einfach damit umzugehen.
Die Adware-Erweiterungen sind eigentlich weniger problematisch, wenn Sie es glauben können, denn was sie tun, ist für die Benutzer der Erweiterung sehr offensichtlich, die dann einen Aufruhr darüber auslösen und versuchen können, den Entwickler zum Aufhören zu bewegen. Wir wünschen uns auf jeden Fall, dass Google und Mozilla ihre lächerlichen Richtlinien ändern, um dieses Verhalten zu verbieten, aber wir können ihnen nicht helfen, gesunden Menschenverstand zu bekommen.
Auf der anderen Seite erfolgt das Tracking im Geheimen oder ist im Wesentlichen geheim, weil sie versuchen, in der Beschreibung der Erweiterungen in juristischer Sprache zu verbergen, was sie tun, und niemand scrollt zum Ende der Readme-Datei, um herauszufinden, ob diese Erweiterung es ist gehen, um Leute zu verfolgen.
Diese Spionage verbirgt sich hinter EULAs und Datenschutzrichtlinien
Diesen Erweiterungen ist es „erlaubt“, an diesem Tracking-Verhalten teilzunehmen, weil sie es auf ihrer Beschreibungsseite oder zu einem bestimmten Zeitpunkt in ihrem Optionsfeld „offenlegen“. Zum Beispiel die HoverZoom-Erweiterung, das eine Million Nutzer hat, sagt ganz unten auf ihrer Beschreibungsseite Folgendes:
Wo genau in dieser Beschreibung wird erklärt, dass sie jede einzelne Seite, die Sie besuchen, verfolgen und die URL an einen Dritten zurücksenden, der sie für die Daten bezahlt? Tatsächlich behaupten sie überall, dass sie über Affiliate-Links gesponsert werden, und ignorieren dabei völlig die Tatsache, dass sie Sie ausspionieren. Ja, das stimmt, sie injizieren auch überall Werbung. Aber was interessiert Sie mehr, eine Anzeige, die auf einer Seite erscheint, oder sie nehmen Ihren gesamten Browserverlauf und senden ihn an eine andere Person zurück?
Bewegen Sie den Mauszeiger über das Entschuldigungsfenster von Zoom
Sie können damit davonkommen, weil sie in ihrem Optionsfeld ein winziges Kontrollkästchen mit der Aufschrift „Anonyme Nutzungsstatistiken aktivieren“ haben, und Sie können diese „Funktion“ deaktivieren – obwohl es erwähnenswert ist, dass sie standardmäßig aktiviert ist.
Diese spezielle Erweiterung hat eine lange Geschichte von schlechtem Verhalten, die einige Zeit zurückreicht. Der Entwickler wurde kürzlich erwischt Sammeln von Browserdatenformulardaten… aber er wurde letztes Jahr auch erwischt Verkauf von Daten über das, was Sie eingegeben haben zu einem anderen Unternehmen. Sie haben jetzt eine Datenschutzrichtlinie hinzugefügt, die genauer erklärt, was vor sich geht, aber wenn Sie eine Datenschutzrichtlinie lesen müssen, um herauszufinden, dass Sie ausspioniert werden, haben Sie ein anderes Problem.
Zusammenfassend lässt sich sagen, dass allein durch diese eine Erweiterung eine Million Menschen ausspioniert werden. Und das sind nur diese Erweiterungen – es gibt noch viel mehr, die dasselbe tun.
Erweiterungen können ohne Ihr Wissen den Besitzer wechseln oder aktualisieren
Diese Erweiterung verlangt viel zu viele Berechtigungen. Aberkennen!
Es gibt absolut keine Möglichkeit zu wissen, wann eine Erweiterung mit Spyware aktualisiert wurde, und da viele Arten von Erweiterungen eine Menge Berechtigungen benötigen, um überhaupt richtig zu funktionieren, bevor sie zu werbeinjizierenden Spycraft-Elementen werden, haben Sie also gewonnen ‘ werden nicht gefragt, wenn die neue Version herauskommt.
Erschwerend kommt hinzu, dass viele dieser Erweiterungen haben den Besitzer gewechselt im letzten Jahr – und jeder, der jemals eine Erweiterung geschrieben hat, wird mit Anfragen überschwemmt, ihre Erweiterung an zwielichtige Personen zu verkaufen, die dann dich mit Werbung anstecken oder dich ausspionieren. Da die Erweiterungen keine neuen Berechtigungen erfordern, haben Sie nie die Möglichkeit, ohne Ihr Wissen herauszufinden, welche Erweiterungen die geheime Verfolgung hinzugefügt haben.
In Zukunft sollten Sie natürlich entweder auf die Installation von Erweiterungen oder Add-Ons ganz verzichten oder darauf achten, welche Sie installieren. Wenn sie nach Berechtigungen für alles auf Ihrem Computer fragen, sollten Sie auf die Schaltfläche Abbrechen klicken und ausführen.
Versteckter Tracking-Code mit einem Remote-Aktivierungsschalter
Es gibt tatsächlich eine Menge anderer Erweiterungen, die einen vollständigen Tracking-Code integriert haben – aber dieser Code ist derzeit deaktiviert. Diese Erweiterungen pingen alle 7 Tage an den Server zurück, um ihre Konfiguration zu aktualisieren. Diese sind so konfiguriert, dass sie noch mehr Daten zurücksenden – sie berechnen genau, wie lange Sie jede Registerkarte geöffnet haben und wie lange Sie auf jeder Site verbringen.
Wir haben eine dieser Erweiterungen namens Autocopy Original getestet, indem wir ihr vorgegaukelt haben, dass das Tracking-Verhalten aktiviert werden sollte, und wir konnten sofort eine Menge Daten sehen, die an ihre Server zurückgesendet wurden. Es gab 73 dieser Erweiterungen im Chrome Store und einige im Firefox Add-Ons Store. Sie sind leicht zu identifizieren, da sie alle von „wips.com“ oder „wips.com-Partnern“ stammen.
Sie fragen sich, warum wir uns Sorgen über Tracking-Code machen, der noch nicht einmal aktiviert ist? Weil ihre Beschreibungsseite kein Wort über den Tracking-Code sagt – er ist als Kontrollkästchen in jeder ihrer Erweiterungen versteckt. Die Leute installieren die Erweiterungen also unter der Annahme, dass sie von einem Qualitätsunternehmen stammen.
Und es ist nur eine Frage der Zeit, bis dieser Tracking-Code aktiviert wird.
Untersuchung dieser Spionageerweiterung Schrecklich
Die Durchschnittsperson wird nicht einmal wissen, dass diese Spionage im Gange ist – sie werden keine Anfrage an einen Server sehen, sie werden nicht einmal eine Möglichkeit haben, dies zu erkennen. Die überwiegende Mehrheit dieser Millionen Nutzer wird davon in keiner Weise betroffen sein … außer dass ihre persönlichen Daten unter ihnen gestohlen wurden. Also, wie finden Sie das für sich heraus? Es heißt Geiger.
Fiddler ist ein Web-Debugging-Tool, das als Proxy fungiert und alle Anfragen zwischenspeichert, damit Sie sehen können, was vor sich geht. Dies ist das Tool, das wir verwendet haben – wenn Sie zu Hause duplizieren möchten, installieren Sie einfach eine dieser Spionageerweiterungen wie Hover Zoom, und Sie werden zwei Anfragen an Websites sehen, die ähnlich wie t.searchelper.com und api28.webovernet.com sind für jede einzelne Seite, die Sie anzeigen. Wenn Sie das Inspectors-Tag überprüfen, werden Sie eine Menge base64-codierten Texts sehen … tatsächlich wurde er aus irgendeinem Grund zweimal base64-codiert. (Wenn Sie den vollständigen Beispieltext vor der Dekodierung benötigen, haben wir ihn hier in einer Textdatei gespeichert).
Sie verfolgen jede Website, die Sie besuchen, sogar die HTTPS-Websites
Sobald Sie diesen Text erfolgreich entschlüsselt haben, sehen Sie genau, was vor sich geht. Sie senden die aktuelle Seite, die Sie besuchen, zusammen mit der vorherigen Seite und einer eindeutigen ID, um Sie zu identifizieren, und einigen anderen Informationen zurück. Das Erschreckende an diesem Beispiel ist, dass ich mich zu diesem Zeitpunkt auf meiner Banking-Site befand, die mit HTTPS SSL-verschlüsselt ist. Das ist richtig, diese Erweiterungen verfolgen Sie immer noch auf Websites, die verschlüsselt werden sollten.
s=1809&md=21&pid=mi8PjvHcZYtjxAJ&sess=23112540366128090&sub=chrom
&q=https%3A//secure.bankofamerica.com/login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn/signOn.go&Aprev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn /secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Sie können api28.webovernet.com und die andere Site in Ihren Browser einfügen, um zu sehen, wohin sie führen, aber wir ersparen Ihnen die Spannung: Es handelt sich tatsächlich um Weiterleitungen für die API für ein Unternehmen namens Similar Web, das eines von vielen Unternehmen ist diese Art der Verfolgung durchführen und die Daten verkaufen, damit andere Unternehmen ausspionieren können, was ihre Konkurrenten tun.
Wenn Sie der abenteuerlustige Typ sind, können Sie denselben Tracking-Code leicht finden, indem Sie Ihre chrome://extensions-Seite öffnen und auf den Entwicklermodus klicken und dann auf «Ansichten prüfen: html/background.html» oder den ähnlichen Text klicken fordert Sie auf, die Erweiterung zu überprüfen. Auf diese Weise können Sie sehen, was diese Erweiterung die ganze Zeit im Hintergrund ausgeführt wird.
Dieses Mülleimer-Symbol ist dein Freund
Sobald Sie zum Inspizieren klicken, sehen Sie sofort eine Liste mit Quelldateien und allen möglichen anderen Dingen, die für Sie wahrscheinlich griechisch sind. Wichtig sind in diesem Fall die beiden Dateien tr_advanced.js und tr_simple.js. Diese enthalten den Tracking-Code, und Sie können mit Sicherheit sagen, dass Sie ausspioniert werden oder irgendwann ausspioniert werden, wenn Sie diese Dateien in einer Erweiterung sehen. Einige Erweiterungen enthalten natürlich unterschiedliche Tracking-Codes. Nur weil Ihre Erweiterung diese nicht hat, bedeutet dies nichts. Betrüger sind in der Regel trickreich.
(Beachten Sie, dass wir den Quellcode so verpackt haben, dass er in das Fenster passt)
Sie werden wahrscheinlich feststellen, dass die URL auf der rechten Seite nicht ganz dieselbe ist wie zuvor. Der eigentliche Tracking-Quellcode ist ziemlich kompliziert und jede Erweiterung hat anscheinend eine andere Tracking-URL.
Verhindern, dass eine Nebenstelle automatisch aktualisiert wird (erweitert)
Wenn Sie eine Erweiterung haben, die Sie kennen und der Sie vertrauen, und Sie bereits überprüft haben, dass sie nichts Schlimmes enthält, können Sie sicherstellen, dass die Erweiterung Sie nie heimlich mit Spyware aktualisiert – aber es ist wirklich manuell und wahrscheinlich nicht was du wirst tun wollen.
Wenn Sie dies dennoch tun möchten, öffnen Sie das Erweiterungsfeld, suchen Sie die ID der Erweiterung, gehen Sie dann zu %localappdata%googlechromeUser DatadefaultExtensions und suchen Sie den Ordner, der Ihre Erweiterung enthält. Ändern Sie die Zeile update_url in manifest.json, um client2.google.com durch localhost zu ersetzen. Wir konnten dies noch nicht mit einer tatsächlichen Erweiterung testen, aber es sollte funktionieren.
Für Firefox ist der Vorgang viel einfacher. Gehen Sie zum Add-ons-Bildschirm, klicken Sie auf das Menüsymbol und deaktivieren Sie „Add-ons automatisch aktualisieren“.
Wo bleibt uns das?
Wir haben bereits festgestellt, dass viele Erweiterungen aktualisiert werden, um Tracking- / Spionage-Code, das Einfügen von Anzeigen und wer weiß was noch einzuschließen. Sie werden an nicht vertrauenswürdige Unternehmen verkauft oder die Entwickler mit dem Versprechen auf leichtes Geld gekauft.
Sobald Sie ein Add-On installiert haben, gibt es keine Möglichkeit zu wissen, dass sie später keine Spyware einschließen werden. Wir wissen nur, dass es viele Add-Ons und Erweiterungen gibt, die diese Dinge tun.
Die Leute haben uns nach einer Liste gefragt, und während unserer Nachforschungen haben wir so viele Erweiterungen gefunden, die diese Dinge tun, dass wir nicht sicher sind, ob wir eine vollständige Liste aller erstellen können. Wir werden eine Liste von ihnen dem mit diesem Artikel verknüpften Forumsthema hinzufügen, damit die Community uns helfen kann, eine größere Liste zu erstellen.
Sehen Sie sich die vollständige Liste an oder geben Sie uns Ihr Feedback