Udviklere af udvidelser sælger data fra mindst 6.5 millioner brugere – og det er helt lovligt

Resume:

Ny forskning fra LayerX Security afdækker adskillige netværk af browserudvidelser, der indsamler brugerdata og videresælger dem med profit – og det er alt sammen fuldt lovligt. For i modsætning til ondsindede udvidelser, der forklæder sig som legitime udvidelser og gør deres begær i mørket, fortæller disse udvidelser eksplicit brugerne, at de vil indsamle og sælge deres data. Det står lige der i privatlivspolitikken; bortset fra at ingen læser den.

LayerX analyserede privatlivspolitikkerne for tusindvis af udvidelser og afdækkede over 80 forskellige udvidelser, der indsamler og sælger kundedata. Nogle af disse udvidelser inkluderer:

• Et netværk af 24 medieudvidelser, der er installeret på 800,000 brugere og indsamler visningsdata og demografiske oplysninger på store streamingplatforme som Netflix, Hulu, Disney+, Amazon Prime Video, HBO, Apple TV og andre.
• 12 separate annonceblokkere med en samlet installationsbase på over 5.5 millioner brugere, der åbent sælger brugerdata
• Næsten 50 andre udvidelser, med over 100,000 brugere i alt, der indsamlede og videresolgte brugernes browserdata

Selvom browserudvidelser kan virke uskyldige, fremhæver disse resultater den privatlivsrisiko, der kan opstå ved ureguleret brug af udvidelser.

Det med småt, der gør alt lovligt

Privatlivspolitikker. At læse dem er som at se maling tørre. For de fleste brugere er det værre end at læse det med småt i deres realkreditaftaler; og det siger ikke så lidt.

Bortset fra at vi gjorde.

LayerX Security-forskerne Dar Kahllon og Guy Erez analyserede privatlivspolitikkerne for tusindvis af browserudvidelser, der er tilgængelige i officielle butikker. De ledte efter én ting: om udgiveren eksplicit forbeholdt sig retten til at sælge brugerdata.

Og vi fandt dem. Vores analyse viste mindst 80 sådanne udvidelser, hvoraf nogle arbejdede i samarbejde og var udviklet af den samme udvikler på tværs af alle udvidelser. De spænder fra annonceblokkere og streamingværktøjer til jobansøgningshjælpere, udvidelser til nye faner og B2B-salgsinformationsplatforme.

De fleste af disse politikker siger ikke "vi sælger dine data". De siger "vi kan sælge". Det er en juridisk sikring – men det betyder, at dine data kan sælges når som helst, og at du allerede har accepteret det. Sådan ser det ud i praksis:

"Vi kan sælge eller dele dine personlige oplysninger med tredjeparter."

"Disse oplysninger kan blive solgt til eller delt med forretningspartnere."

Hvad? Har browserudvidelser privatlivspolitikker?!

Nå, for at være fair, gør de fleste ikke.

Figur 1. Gennemsigtighed i privatlivspolitikken

Ifølge LayerX's Enterprise Browser Extension Security Report 202671 % af alle udvidelser i Chrome Webshop offentliggør ikke engang en privatlivspolitik. 

Som følge heraf har mere end 73 % af brugerne mindst én udvidelse installeret uden en privatlivspolitik, uden gennemsigtighed i, hvordan deres data håndteres. Det betyder, at vores analyse kun kunne baseres på de 29 %, der har en privatlivspolitik. 

Og hvis vi antager, at nogle af disse udvidelser uden nogen privatlivspolitik overhovedet også vil videresælge dine data – og der er ingen grund til at antage, at de er bedre – er det reelle antal udvidelser, der muligvis sælger dine data i Chrome Webshop, i titusinder.

Sådan analyserede vi dataene

Vi har udviklet en pipeline til at analysere privatlivspolitikker forbundet med browserudvidelser i officielle butikker, ved at kombinere automatiseret klassificering med manuel verifikation.

Med udgangspunkt i cirka 9,000 udvidelser med URL'er til privatlivspolitikker i vores database, hentede og analyserede vi med succes 6,666 politikker.

Rørledningen forløb i tre faser:

1. Først markerede AI-klassificering politikker, der afslørede salg, licensering eller kommerciel overførsel af brugerdata. Vi markerede derefter matches med høj sikkerhed til gennemgang og verificerede hver markeret politik manuelt.
2. Udførte en manuel gennemgang for at fjerne falske positiver, herunder:
   1. 1. Virksomhedssikkerhedsværktøjer (f.eks. Fortinet, CrowdStrike), der sender browserdata til deres egne servere som en del af forventet webfiltreringsadfærd.
      2. Standard CCPA-oplysninger om retargeting af annoncer (f.eks. HubSpot, Calendly), hvor deling af cookies med platforme som Google Ads teknisk set kan tælle som et "salg" under brede definitioner.
      3. Konsensuelle platforme til monetisering af data (f.eks. Swash) hvor brugerne eksplicit tilmelder sig og modtager kompensation

   Det endelige datasæt inkluderer kun udvidelser, hvis privatlivspolitikker indikerer ægte kommercielt salg af brugerdata til tredjeparter

3. I den endelige optælling fandt vi 82 unikke udvidelser på tværs af 94 butiksfortegnelser.. 75 er i øjeblikket tilgængelige i Chrome Webshop. De resterende 7 er blevet fjernet – men "fjernet" betyder ikke "afinstalleret". Udvidelser, der hentes fra butikken, kan forblive aktive i browsere, der allerede har dem.

Selvom disse tal kan virke lave, skal du huske på, at de kun gælder for udvidelser med privatlivspolitikker til at begynde med (mindre end en tredjedel af alle udvidelser), og de udvidelser, der rent faktisk fortæller dig, hvad de gør med dine data. Det sande tal er næsten helt sikkert højere.

Her er et par af vores vigtigste resultater:

QVI-imperiet: Én anonym udgiver, 24 udvidelser, 800,000 brugere

Under gennemgangen af ​​bekræftede sælgere dukkede et mønster op. Forskellige udvidelser, forskellige streamingplatforme, men det samme præfiks på tre bogstaver: QVI – forkortelse for “Quality Viewership Initiative”.

Det, der lignede uafhængige værktøjer, viste sig at være én enkelt operation: 24 browserudvidelser – 21 er i øjeblikket aktive, 3 er fjernet – der dækker næsten alle større streamingtjenester.

• Netflix
• Hulu
• Disney +
• Amazon Prime Video
• HBO Max
• Peacock
• Paramount +
• Tubi
• Apple TV +
• Crunchyroll

Alt udgivet af HideApp LLC, registreret på 1021 East Lincolnway, Cheyenne, Wyoming – en adresse, der deles af hundredvis af andre LLC'er gennem en registreret agenttjeneste – og som opererer under brandet “dogooodapp".

De største udvidelser i netværket: 

• Brugerdefineret profilbillede til Netflix (200 brugere)
• Hulu-annonceoverskrider (100)
• Netflix billede i billede (100K)
• Annonceoverspringer til Prime Video (60K)
• Netflix Extended (60K)

På tværs af alle 21 live-udvidelser når netværket næsten 800,000 brugere.

Figur 2. Udvidelsesside i Chrome Store for udvidelsen "Brugerdefineret profilbillede til Netflix [QVI]".

Men deres privatlivspolitik siger noget, som butiksfortegnelserne ikke gør. Disse udvidelser indsamler omfattende oplysninger, herunder:

• Visningshistorik
• Indholdspræferencer
• Platformabonnementer
• Downloadet indhold
• Streamingadfærd 

De indsamler også alder og køn – og hvis du ikke angiver demografiske oplysninger, matcher de din e-mail med tredjeparts demografiske databaser for at udfylde hullerne.

Figur 3. Data angivet som indsamlet af privatlivspolitikken for udvidelsen "Brugerdefineret profilbillede til Netflix [QVI]"

Politikken beskriver salg af rapporter til indholdsskabere og -studier, streamingplatforme, medieanalysefirmaer og marketingbureauer – sammen med "organisationer, der køber anonymiserede seerdata".

Sæt det hele sammen, og du ser et distribueret målesystem til publikum, der kører i brugernes browsere. Én anonym udgiver indsamler seeradfærd på tværs af alle større streamingplatforme og opbygger information om, hvad næsten 800,000 mennesker ser, hvornår og hvordan de interagerer med indhold. Ingen af ​​disse brugere tilmeldte sig det. Juridisk set accepterede de vilkårene, da de klikkede på "Føj til Chrome". Praktisk talt læste ingen dem.

 

Annonceblokkere, der blokerer nogle annoncer og sælger dine data til andre annoncer

Vi bekræftede otte annonceblokkere der forbeholder sig retten til at sælge eller dele brugeroplysninger med tredjeparter. Værktøjer, som folk installerer for at stoppe sporing – sælger i stedet sporingsdata. Tilsammen når de ud over 5.5 millioner brugere.

• Stativer AdBlocker (3M-brugere) sælger browserdata til tredjeparter med henblik på "markedsanalyse".
• Pop Blocker (2 millioner brugere) afslører salgsidentifikatorer, browseraktivitet, adfærdsprofiler og udledte følsomme data – herunder helbredstilstande, religiøs overbevisning og seksuel orientering, alt sammen udledt af de URL'er, du besøger.
• Alle blokke, en annonceblokering til YouTube (500 brugere), sælger anonymiserede data "til analytiske og kommercielle formål." Udgivet af en enhed kaldet Curly Doggo Limited, med base i London.
• TwiBlocker (80 brugere) oplyser om overførsel af browserdata til tredjeparter, der "behandler eller sælger dem til analytiske formål".
• Urban AdBlocker (10 brugere) sender browserdata og AI-samtaler gennem BiScience-databrokeren.

Hvis din annonceblokker har en privatlivspolitik, der er længere end to afsnit, skal du læse den.

Figur 4. Fremhævet annonceblokering i Chrome Store

Uafhængige operatører kan også sælge dine data

Disse er ikke de største udvidelser på listen, men de viser, hvor langt datasalgsmodellen rækker.

• Career.io Job Automatisk ansøgning (10 brugere) angiver i sin politik, at de kan bruge personoplysninger indsamlet fra dit CV til at sælge til tredjeparter, herunder dataformidlere, med henblik på målrettet annoncering og profilering. Et jobansøgningsværktøj, der sælger dit CV.
• Hunde søde (6 brugere) er en udvidelse til nye faner med et sødt hundebaggrundsbillede. Bekræftet datasælger via Apex Media-netværket.
• EmailOnDeck (10 brugere) er en midlertidig e-mailtjeneste – et værktøj, som folk bruger specifikt, når de ikke ønsker at dele deres rigtige oplysninger. Deres politik fastslår, at de må sælge, udleje eller dele deres mailingliste.
• Undersøgelse Junkie afslører salg af besøgte URL'er, clickstream-data og "modelleret information" om forbrugerpræferencer til markedsundersøgelsesbureauer, reklamebureauer og dataanalyseudbydere.
• Dashy Ny Fane (10 brugere) har sin Chrome Web Store-profil markeret med "sælger ikke dine data". Dens faktiske privatlivspolitik markerer data som "Solgt eller delt: Ja". Vi mener, at dette er CCPA-compliance-sprog for standardanalyser, ikke kommercielt datasalg – hvilket er grunden til, at vi har udeladt det. Men modsætningen mellem butiksfortegnelsen og privatlivspolitikken er reel. Hvis en udgivers egen politik siger "Solgt eller delt: Ja", og butiksfortegnelsen siger det modsatte, hvilken skal brugerne så stole på?

Når dine medarbejderes lokalnumre sælger data

Ud af de 82 bekræftede sælgere er 29 af dem B2B-salgsinformationsværktøjer. Deres forretning is data, så selve afsløringen er ikke overraskende. Vi tæller dem ikke med sammen med de forbrugerrettede udvidelser.

Men de hører hjemme i denne samtale. Disse udvidelser sidder på virksomhedens maskiner. Det betyder, at medarbejdernes browseradfærd, såsom interne URL'er, SaaS-dashboards og researchaktivitet, flyder ind i kommercielle databaser, som dine konkurrenter kan købe. Risikoen handler ikke om, at brugerne bliver bedraget. Det handler om, at virksomhedsdata forsvinder gennem en kanal, som ingen ser.

Hvad sikkerhedsteams bør gøre ved dette

De fleste sikkerhedsevalueringer af udvidelser fokuserer på tilladelser eller kendte skadelige indikatorer – de markerer udvidelser, der anmoder om overdreven adgang eller matcher trusselsinformation. Det fanger malware. Det fanger ikke en udvidelse, der åbent forbeholder sig retten til at sælge dine browserdata.

En udvidelse med en afsløring af datasalg er ikke en hypotetisk risiko. Det er en erklæret forretningspraksis, der ligger i et dokument, som dine medarbejdere har accepteret uden at læse.

Tre spørgsmål, der er værd at stille: 

1. Hvilke udvidelser er installeret på tværs af medarbejdernes browsere? 
2. Hvilke data hævder disse udgivere at have ret til at indsamle eller sælge? 
3. Kunne virksomheders browsingaktivitet flyde ind i kommercielle datasæt?

De fleste browsere understøtter allerede centraliseret udvidelsesadministration via virksomhedspolitikker – Chromes ExtensionSettings, Edges gruppepolitikker og Firefox' virksomhedskonfigurationer. Hvis du ikke har en politik for udvidelsesstyring, er det det første skridt. Hvis du har en, skal du tilføje gennemgang af privatlivspolitikken til evalueringskriterierne. Tilladelser alene siger ikke nok.

Med det formål tilføjede LayerX et nyt filter til at detektere og filtrere (og blokere, hvis det ønskes) udvidelser, der enten slet ikke har en privatlivspolitik eller forbeholder sig retten til at sælge personoplysninger.

Overvej at blokere udvidelser, der enten afslører salg af brugerdata eller slet ikke offentliggør en privatlivspolitik.

Figur 5. LayerX Extension databeskyttelsesfilter  

The Bottom Line

Browserudvidelser er blandt internettets mest kraftfulde og mindst granskede værktøjer. Selvom meget af fokus er på ondsindede programmer, der aktivt stjæler bruger- og virksomhedsdata, kan krænkelser af privatlivets fred lyde banale, men de kan også være risikable.

At gennemgå og læse privatlivspolitikken for hver udvidelse, som hver bruger har i din organisation, kan føre til hundredvis eller tusindvis af individuelle udvidelser; det er naturligvis ikke muligt.

I stedet skal organisationer begynde at implementere automatiserede værktøjer, der kan begrænse mistænkelige udvidelser og tage højde for privatlivsindstillinger.