Wtyczki do przeglądarek, które zamiast chronić – naruszają Twoją prywatność


Wtyczki do przeglądarek, które zamiast chronić – naruszają Twoją prywatność

Ochroniarz powinien chronić powierzone dobra. Czasem jednak zamiast chronić, sam je wykrada. Podobnie bywa z wtyczkami, które mają zwiększać naszą prywatność w sieci – a zamiast tego sprzedają nasze dane. Piszemy, których unikać, a którym zaufać.

W ostatnich latach skala ataków na prywatność internautów z użyciem rozszerzeń do przeglądarek znacznie wzrosła. Do naruszeń prywatności przyczyniają się nawet te, które obiecywały ją chronić. Biznes obrotu danymi i ich analizy, a także reklamy ukierunkowanej, to dziś maszyna napędzana przez wielkie korporacje, warta dobrych kilka miliardów dolarów i niektórzy autorzy i właściciele wtyczek ulegają pokusie.

Sprawa Web of Trust (WOT)

Świadomość wśród użytkowników, że nie ma darmowych usług i produktów, a dane to waluta, wciąż jest dość niewielka. W przypadku usług cyfrowych dostępnych “za darmo” ceną najczęściej są dane osób z nich korzystających, które same zmieniają się w produkt. Ilustracją tego problemu może być wtyczka Web of Trust (WOT) służąca do oceny wiarygodności odwiedzanych stron, która w 2016 roku znalazła się pod lupą dziennikarzy niemieckiego publicznego nadawcy radiowo-telewizyjnego Norddeutscher Rundfunk (NDR). Sprawa była również szeroko komentowana w Niemczech m.in. przez tygodnik  “Der Spiegel” oraz dziennik “Frankfurter Allgemeine Zeitung” (FAZ), oraz przez największe portale internetowe na całym świecie.

Według NDR informacje o swoich użytkownikach użytkownicy wtyczki WOT sprzedawali – w rzekomo w zanonimizowanych pakietach danych – podmiotom trzecim (czytaj: reklamodawcom). Śledztwo dziennikarskie wykazało, że historia przeglądania i inne dane zawarte w przekazanych pakietach mogą łatwo zostać przypisane do konkretnych osób i ujawnić intymne szczegóły z ich życia prywatnego. Dzięki uzyskaniu dostępu do jednego z takich pakietów danych reporterzy byli w stanie dowiedzieć się m.in. o preferencjach sadomasochistycznych jednego z niemieckich sędziów, a także o trwających śledztwach policyjnych czy też planach biznesowych dużej firmy medialnej.

Zdaniem cytowanego przez NDR inżyniera zajmującego się sektorem Big Data, Andreasa Dewesa, pokazuje to absurdalność całej sytuacji. To było zaskakujące jak łatwo można odszyfrować wiele danych, a przy tym jak bardzo nie szanuje się prywatności użytkowników – powiedział. Jak zauważył pełnomocnik Hamburga ds. ochrony danych osobowych Johannes Caspar, przy przekazywaniu wrażliwych danych osobowych firmy mają obowiązek uzyskać zgodę od użytkowników, których dane są dalej przekazywane. W tym przypadku działania WOT były sprzeczne z prawem niemieckim, które nie zezwala na masowe przekazywanie informacji do firm trzecich bez uprzedniego uzyskania takiego zezwolenia.

Baza danych, do której uzyskali dostęp dziennikarze, zawierała jedynie informacje poufne dotyczące niemieckich obywateli, jednak można przypuszczać, że w innych pakietach znajdowały się dane osób z innych krajów. Rozszerzenie WOT, w chwili gdy sprawa wyszła na jaw, zostało pobrane ponad 140 mln razy. Mozilla, Opera i Chrome po licznych sygnałach ze strony użytkowników zdecydowały się na usunięcie tej wtyczki ze swoich sklepów.

Twórcy WOT wprowadzili zmiany w polityce prywatności wtyczki i znów można z niej korzystać, ale nie cieszy się już taką popularnością i zaufaniem użytkowników, jak przed ujawnieniem afery.

Fałszywe, złośliwe lub przejęte rozszerzenia

Przestępcy coraz częściej podszywają się też pod popularne rozszerzenia do przeglądarek. Co pewien czas pojawiają się doniesienia medialne – bardziej lub mniej spektakularne – o tym, że jakiejś osobie udało się skutecznie podszyć pod dodatek, który np. ma blokować reklamy lub zwiększać bezpieczeństwo internautów.

W październiku ubiegłego roku użytkownik Twittera @SwiftOnSecurity poinformował, że ponad 37 tysięcy osób dało się nabrać na fałszywą wersję AdBlocka Plus. Po interwencji internautów Google usunęło felerną wtyczkę, jednak pokazuje to, że zautomatyzowany system weryfikacji nowych dodatków nadal jest słaby i wymaga poprawy.

Niecały miesiąc później serwis Bleeping Computer poinformował, że rozszerzenie dla Chrome o nazwie Browse-Secure pobierało w tle dane z Facebooka i LinkedIna, a następnie przesyłało je na serwery twórców dodatku. Wśród danych znajdowały się m.in. adresy mailowe, imiona i nazwiska, płeć osób, numery telefonów komórkowych czy daty urodzenia. Rozszerzenie kusiło użytkowników ochroną przeglądarki oraz (o ironio!) ochroną prywatności.

Innym popularnym ostatnio scenariuszem ataku jest przejęcie kontroli nad znaną wtyczką poprzez jej odkupienie lub włamanie na konto jej autora. Ofiarami takich incydentów padły Tab Manager, Live HTTP Headers i wiele innych.

Także autor NoScripta uległ pokusie łatwych pieniędzy – na stronie skryptu można było znaleźć zwodnicze reklamy niepożądanego oprogramowania.

Wydajność rozszerzeń

Warto przy tej okazji odnieść się również do kwestii wpływu rozszerzeń na szybkość ładowania stron internetowych oraz ilości przesyłanych danych. Naukowcy z Uniwersytetu Aalto w Helsinkach zbadali pięć najpopularniejszych dodatków blokujących reklamy lub służących do poprawy prywatności. Testowane były uBlock, PrivacyBadger, AdBlock, Adblock Plus oraz Ghostery. Wyniki nie były zaskakujące. Poza programem Ghostery (którego nie można zaliczyć do blokerów reklam) badacze zaobserwowali oszczędność w ilości przesyłanych danych od ok. 25 proc. do 34 proc. Najlepszy w tym zestawieniu okazał się uBlock, który zapewnia najlepszą wydajność, zarówno pod względem oszczędności danych, jak i czasu ładowania stron internetowych.

W badaniu przywołano również eksperyment amerykańskiego dziennika “The New York Times”Po przeanalizowaniu 50 najpopularniejszych stron z wiadomościami okazało się, że ponad połowa pobieranych danych pochodzi z reklam zamieszczonych na tych stronach. Ma to realne przełożenie na rachunki, jakie przychodzi później płacić użytkownikom smartfonów za wykorzystanie określonej liczby danych pakietowych.

VPN-y też potrafią szpiegować

Szerokim echem odbiła się również sprawa dotycząca usługi Hotspot Shield VPN realizowanej przez niemiecką spółkę AnchorFree. W ubiegłym roku organizacja pozarządowa Centrum dla Demokracji i Technologii (Center for Democracy and Technology – CDT) złożyła petycję do amerykańskiej Federalnej Komisji Handlu (Federal Trade Commission – FTC), w której oskarżyło producenta programu o szereg podejrzanych praktyk, w tym m.in. o sprzedawanie danych użytkowników reklamodawcom. Stwierdzono m.in., że usługa zbierała adresy IP użytkowników oraz unikalne identyfikatory urządzeń (Unique Device Identifier – UDI), a także monitorowała zachowania użytkowników podczas korzystania z usługi. CDT podkreślił w skardze, że AnchorFree w swej polityce prywatności nie uważa, iż adres IP użytkownika oraz UDI to dane osobowe.

FTC odmówiła udzielenia informacji, na jakim etapie jest skarga i kiedy wyda orzeczenie w tej sprawie. Od tego czasu właściciel Hotspot Shield uaktualnił też swoją politykę prywatności, zaznaczając, że nie przechowuje adresów IP poza określoną sesją VPN oraz nie udostępnia informacji o użytkownikach reklamodawcom.

Program według różnych źródeł został pobrany ok. 600 mln razy. Wielu użytkowników Hotspot Shield pochodzi z Bliskiego Wschodu, gdzie wolność słowa jest ograniczona, a znaczna część stron internetowych jest zablokowana przez władze, co stawia pod znakiem zapytania ich realne bezpieczeństwo i anonimowość korzystania z sieci.

Rekomendacje

Pomimo tego, że rozszerzenia do przeglądarki mogą w swej istocie stanowić niebezpieczeństwo dla użytkowników, niektóre z nich są przydatne i warto z nich korzystać na co dzień. Nie warto jednak instalować wielu dodatków, gdyż mają one nie tylko wpływ na wydajność komputera, ale mogą stać się również potencjalnym wektorem ataku.

  1. Privacy Badger od Electronic Frontier Foundation (EFF). Narzędzie chroni przed elementami szpiegującymi znajdującymi się na odwiedzanych stronach internetowych. Dodatek można łatwo skonfigurować. “Borsuk” potrafi również wysyłać żądanie DNT (do-not-track) do elementów śledzących, a jeśli zostanie ono zignorowane, może je samodzielnie zablokować. Dodatek może uzupełniać blokera reklam. Dostępny jest dla przeglądarek Chrome, Firefox i Opera. Działa także na urządzeniach z Androidem.
  2. Do blokowania reklam na stronach: uBlock Origin. Blokuje reklamy, ale co najważniejsze – dodatek nie jest częścią inicjatywy Acceptable Ads, jak np. AdBlock Plus czy AdBlock, w myśl której autorzy dodatków otrzymują pieniądze za wyświetlanie “mniej inwazyjnych reklam” na swoich stronach. Według danych z 2016 roku przemysł reklamowy poniósł straty z tytułu blokowania reklam w wysokości 41 mld dolarów, dlatego twórcy reklam za wszelką ceną starają się przeciwdziałać temu trendowi. Dostępny jest dla przeglądarek Chrome, Firefox i Opera.
  3. Wtyczka HTTPS Everywhere (EFF), która wymusza tam, gdzie to możliwe, korzystanie z protokołu HTTPS. Mimo że coraz więcej stron stosuje ten protokół, dodatku nadal warto używać. Dostępny jest dla przeglądarek Chrome, Firefox, Opera. Działa także na urządzeniach z Androidem.
  4. Wtyczka uMatrix – bardzo złożona, z wieloma opcjami, umożliwia zaawansowanym użytkownikom precyzyjne dostosowanie uprawnień różnych witryn.

Trzymajcie się tych sprawdzonych produktów, a Wasze komputery będą bezpieczniejsze. Uważajcie także na wtyczki już posiadane – jeśli zainstalowane rozszerzenie próbuje uzyskać nowe uprawnienia, istnieje duże prawdopodobieństwo, że coś się dzieje nie tak, jak powinno. Taka wtyczka mogła zostać sprzedana podmiotowi trzeciemu lub – co gorsza – zostać przejęta przez cyberprzestępców, którzy będą z jej użyciem chcieli uzyskać dostęp do Waszego komputera.



Source link

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *