Dodatki do przeglądarek to całkiem popularne wektory zakażeń przeróżnymi cyberzagrożeniami. Sklep z rozszerzeniami dla Google Chrome wielokrotnie okazał się być źródłem podejrzanych "niespodzianek", które m. in. wykopywały kryptowaluty dla cyberprzestępców. Tym razem bierzemy na tapet ten, który służy "upiększeniu" przeglądanych stron internetowych - oprócz swojej właściwej funkcji przechwytuje również historię przeglądania użytkownika.
Uważajcie na dodatki do przeglądarek. Nawet najlepsze mogą wykradać dane
Stylish, bo o nim mowa liczy sobie około 2 milionów użytkowników. Niezwykle lubią (lubili) go użytkownicy, którym przeszkadzały m. in. jasne tła w popularnych stronach internetowych. Za pomocą opracowywanych przez społeczność skórek można było w atrakcyjny dla internauty sposób nieco usprawnić wygląd poszczególnych witryn. Mało tego, Stylish mógł posłużyć m. in. do modyfikowania zawartości wyświetlanej w mediach społecznościowych - wszystko to jednak obraca się w niwecz, jeżeli zdamy sobie sprawę, że w zamian za korzystanie z dodatku poświęcamy swoją prywatność.
Jak wykazuje Robert Heaton, inżynier oprogramowania, od stycznia 2017 roku Stylish zdaje się zwyczajnie śledzić użytkowników, zbierając historię przeglądanych stron i przekazując ją na własne serwery - co ciekawe z unikalnym identyfikatorem dla każdego korzystającego z rozszerzenia. Wiele wskazuje na to, że SimilarWeb - popularne narzędzie służące do porównywania stron internetowych zbiera te informacje celem dokładniejszego oceniania witryn, a także profilowania użytkowników. Oprócz tego, że Similarweb dostarcza przybliżone wartości unikalnych użytkowników, odsłon, sesji, itp., to w dodatku jest w stanie określić jakie zainteresowania są popularne wśród bywalców konkretnego miejsca w sieci.
Ale o tym, że Stylish będzie pozyskiwać dane użytkownicy "wiedzieli". Dlaczego miałyby się posypać gromy na Similarweb?
Według polityki prywatności dotyczącej Stylish, rozszerzenie zbiera głównie te dane, których nie można uznać za "newralgiczne". Mało tego, nadawanie unikalnego identyfikatora dla każdego użytkownika ma na celu uniknięcie sytuacji, w której ktokolwiek zostaje rozpoznany w kontekście prawdziwych danych osobowych. To powszechna praktyka w tego typu projektach, ale jak słusznie wskazuje Rober Heaton - wypadki się zdarzają. Może dojść do wycieku takiej bazy, albo nawet do sytuacji, w której samo rozszerzenie wykazuje podatność, która jest wykorzystywana przez cyberprzestępców. Wtedy historia przeglądania użytkownika (i kto wie jakie jeszcze dane?) może wpaść w niepowołane ręce.
Źródło tych rewelacji wskazuje na fakt, iż Stylish przechowuje przede wszystkim odwiedzone adresy URL. A to już może indukować całkiem spore niebezpieczeństwo: w tych ciągach często znajdują się newralgiczne zmienne dotyczące np. tymczasowego klucza zalogowania, który jest aktualny przez krótki okres. Niby bardzo szybki moment jego wygaśnięcia stanowi swego rodzaju element zabezpieczenia, ale jeżeli ktokolwiek przejmie go w odpowiednim "okienku" i wykorzysta go dalej, może uzyskać dostęp do konkretnego konta bez znajomości rzeczywistych danych logowania. Oczywiście, usługi oraz witryny bardzo często korzystają z innych form zabezpieczeń, np. z analizy lokalizacji żądania - ale co jeśli cyberprzestępca natrafi na takie miejsce w sieci, które "zapomniało" o dobrych praktykach w tej kwestii?
Warto więc uważać na rozszerzenia - czytać ich recenzje w repozytoriach i przede wszystkim, być świadomym tego, że nawet godne zaufania firmy (takie jak SimilarWeb) mogą działać na naszą szkodę, choćby robiły to w dobrej wierze. Wykorzystywanie danych użytkowników to niestety nihil novi, ale dobrze jest, gdy konkretna instytucja nie dość, że w odpowiedni sposób informuje o tym użytkowników, to w dodatku w akceptowalny sposób dba o pozyskane informacje.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu