Νέα έρευνα από την LayerX Security αποκαλύπτει πολλά δίκτυα επεκτάσεων προγράμματος περιήγησης που συλλέγουν δεδομένα χρηστών και τα μεταπωλούν με σκοπό το κέρδος – και όλα αυτά είναι απολύτως νόμιμα. Διότι, σε αντίθεση με τις κακόβουλες επεκτάσεις που μεταμφιέζονται σε νόμιμες επεκτάσεις και κάνουν τις εντολές τους στο σκοτάδι, αυτές οι επεκτάσεις λένε ρητά στους χρήστες ότι πρόκειται να συλλέξουν και να πουλήσουν τα δεδομένα τους. Αυτό βρίσκεται ακριβώς εκεί στην Πολιτική Απορρήτου, εκτός από το ότι κανείς δεν τη διαβάζει.
Η LayerX ανέλυσε τις πολιτικές απορρήτου χιλιάδων επεκτάσεων και αποκάλυψε πάνω από 80 διαφορετικές επεκτάσεις που συλλέγουν και πωλούν δεδομένα πελατών. Ορισμένες από αυτές τις επεκτάσεις περιλαμβάνουν:
Ενώ οι επεκτάσεις του προγράμματος περιήγησης μπορεί να φαίνονται αθώες, αυτά τα ευρήματα υπογραμμίζουν την έκθεση σε ιδιωτικότητα που μπορεί να προκύψει από την ανεξέλεγκτη χρήση των επεκτάσεων.
Πολιτικές απορρήτου. Η ανάγνωσή τους είναι σαν να βλέπεις το χρώμα να στεγνώνει. Για τους περισσότερους χρήστες, είναι χειρότερο από το να διαβάζουν τα ψιλά γράμματα στις συμβάσεις στεγαστικού δανείου τους. Και αυτό λέει κάτι.
Εκτός κι αν το κάναμε.
Οι ερευνητές ασφαλείας της LayerX, Dar Kahllon και Guy Erez, ανέλυσαν τις πολιτικές απορρήτου χιλιάδων επεκτάσεων προγράμματος περιήγησης που διατίθενται σε επίσημα καταστήματα. Έψαχναν για ένα πράγμα: αν ο εκδότης διατηρούσε ρητά το δικαίωμα να πώληση δεδομένων χρηστών.
Και τις βρήκαμε. Η ανάλυσή μας έδειξε τουλάχιστον 80 τέτοιες επεκτάσεις, μερικές από τις οποίες λειτουργούσαν σε συμπαιγνία και αναπτύχθηκαν από τον ίδιο προγραμματιστή σε όλες τις επεκτάσεις. Κυμαίνονται από εργαλεία αποκλεισμού διαφημίσεων και ροής έως βοηθήματα υποβολής αιτήσεων εργασίας, επεκτάσεις νέας καρτέλας και πλατφόρμες πληροφοριών πωλήσεων B2B.
Οι περισσότερες από αυτές τις πολιτικές δεν αναφέρουν «πουλάμε τα δεδομένα σας». Λένε «μπορούμε να πουλήσουμε». Πρόκειται για μια νομική προστασία - αλλά σημαίνει ότι τα δεδομένα σας μπορούν να πωληθούν ανά πάσα στιγμή και ότι έχετε ήδη συμφωνήσει σε αυτό. Δείτε πώς φαίνεται αυτό στην πράξη:
«Ενδέχεται να πουλήσουμε ή να κοινοποιήσουμε τα προσωπικά σας στοιχεία σε τρίτους.»
«Αυτές οι πληροφορίες ενδέχεται να πωληθούν ή να κοινοποιηθούν σε επιχειρηματικούς εταίρους.»
Λοιπόν, για να είμαστε δίκαιοι, οι περισσότεροι δεν το κάνουν.
Σχήμα 1. Διαφάνεια Πολιτικής Απορρήτου
Σύμφωνα με την LayerX Αναφορά ασφαλείας Enterprise Browser Extension 2026, το 71% όλων των επεκτάσεων στο Chrome Web Store δεν δημοσιεύουν καν πολιτική απορρήτου.
Ως αποτέλεσμα, περισσότερο από το 73% των χρηστών έχουν εγκατεστημένη τουλάχιστον μία επέκταση χωρίς πολιτική απορρήτου, χωρίς διαφάνεια σχετικά με τον τρόπο χειρισμού των δεδομένων τους. Αυτό σημαίνει ότι η ανάλυσή μας θα μπορούσε να βασιστεί μόνο στο 29% που διαθέτει πολιτική απορρήτου.
Και αν υποθέσουμε ότι ορισμένες από αυτές τις επεκτάσεις χωρίς καμία πολιτική απορρήτου θα μεταπωλήσουν επίσης τα δεδομένα σας - και δεν υπάρχει λόγος να υποθέσουμε ότι είναι καλύτερες - ο πραγματικός αριθμός των επεκτάσεων που ενδέχεται να πουλήσουν τα δεδομένα σας στο Chrome Web Store είναι δεκάδες χιλιάδες.
Δημιουργήσαμε μια διαδικασία ανάλυσης πολιτικών απορρήτου που σχετίζονται με επεκτάσεις προγράμματος περιήγησης σε επίσημα καταστήματα, συνδυάζοντας την αυτοματοποιημένη ταξινόμηση με τη μη αυτόματη επαλήθευση.
Ξεκινώντας από περίπου 9,000 επεκτάσεις με URL πολιτικής απορρήτου στη βάση δεδομένων μας, ανακτήσαμε και αναλύσαμε με επιτυχία 6,666 πολιτικές.
Ο αγωγός λειτουργούσε σε τρία στάδια:
Το τελικό σύνολο δεδομένων περιλαμβάνει μόνο επεκτάσεις των οποίων οι πολιτικές απορρήτου υποδεικνύουν γνήσια εμπορική πώληση δεδομένων χρήστη σε τρίτους
Ενώ αυτά τα στοιχεία μπορεί να φαίνονται χαμηλά, λάβετε υπόψη ότι αυτά τα στοιχεία αφορούν μόνο επεκτάσεις με πολιτικές απορρήτου εξαρχής (λιγότερο από το ένα τρίτο όλων των επεκτάσεων) και εκείνες τις επεκτάσεις που σας ενημερώνουν πραγματικά για το τι κάνουν με τα δεδομένα σας. Ο πραγματικός αριθμός είναι σχεδόν σίγουρα υψηλότερος.
Ακολουθούν μερικά από τα βασικά μας ευρήματα:
Κατά την αξιολόγηση επιβεβαιωμένων πωλητών, ένα μοτίβο συνέχιζε να εμφανίζεται. Διαφορετικές επεκτάσεις, διαφορετικές πλατφόρμες streaming, αλλά το ίδιο πρόθεμα τριών γραμμάτων: QVI – συντομογραφία του «Πρωτοβουλία Ποιοτικής Προβολής».
Αυτό που έμοιαζε με άσχετα εργαλεία αποδείχθηκε ότι ήταν μια ενιαία λειτουργία: 24 επεκτάσεις προγράμματος περιήγησης – 21 διαθέσιμες αυτήν τη στιγμή, 3 αφαιρεμένες – που καλύπτουν σχεδόν κάθε μεγάλη υπηρεσία streaming.
Όλα δημοσιεύθηκαν από HideApp LLC, εγγεγραμμένη στην οδό 1021 East Lincolnway, Cheyenne, Wyoming – μια διεύθυνση που μοιράζονται εκατοντάδες άλλες ΕΠΕ μέσω υπηρεσίας εγγεγραμμένου αντιπροσώπου – και λειτουργεί υπό την επωνυμία «dogooodapp. "
Οι μεγαλύτερες επεκτάσεις στο δίκτυο:
Σε όλες τις 21 ζωντανές επεκτάσεις, το δίκτυο φτάνει σχεδόν Οι χρήστες 800,000.
Σχήμα 2. Σελίδα επέκτασης στο Chrome Store για την επέκταση «Προσαρμοσμένη εικόνα προφίλ για Netflix [QVI]»
Αλλά η πολιτική απορρήτου τους αναφέρει κάτι που δεν αναφέρουν οι καταχωρίσεις καταστημάτων. Αυτές οι επεκτάσεις συλλέγουν εκτενείς πληροφορίες, όπως:
Συλλέγουν επίσης δεδομένα ηλικίας και φύλου – και αν δεν παρέχετε δημογραφικά στοιχεία, αντιστοιχίζουν το email σας με δημογραφικές βάσεις δεδομένων τρίτων για να συμπληρώσουν τα κενά.
Σχήμα 3. Δεδομένα που δηλώνονται ως συλλεγόμενα από την πολιτική απορρήτου της επέκτασης «Προσαρμοσμένη εικόνα προφίλ για Netflix [QVI]»
Η πολιτική περιγράφει την πώληση αναφορών σε δημιουργούς περιεχομένου και στούντιο, πλατφόρμες streaming, εταιρείες έρευνας μέσων και πρακτορεία μάρκετινγκ – μαζί με «οργανισμούς που αγοράζουν ανώνυμα δεδομένα προβολής».
Συνδυάζοντας τα όλα, έχετε ένα κατανεμημένο σύστημα μέτρησης κοινού που εκτελείται μέσα στα προγράμματα περιήγησης των χρηστών. Ένας ανώνυμος εκδότης που καταγράφει τη συμπεριφορά προβολής σε κάθε μεγάλη πλατφόρμα streaming, δημιουργώντας πληροφορίες σχετικά με το τι παρακολουθούν σχεδόν 800,000 άτομα, πότε και πώς αλληλεπιδρούν με το περιεχόμενο. Κανένας από αυτούς τους χρήστες δεν εγγράφηκε σε αυτό. Νομικά, αποδέχτηκαν τους όρους όταν έκαναν κλικ στην επιλογή "Προσθήκη στο Chrome". Πρακτικά, κανείς δεν τους διάβασε.
Επιβεβαιώσαμε οκτώ προγράμματα αποκλεισμού διαφημίσεων που διατηρούν το δικαίωμα να πωλούν ή να κοινοποιούν πληροφορίες χρηστών σε τρίτους. Εργαλεία που εγκαθιστούν οι χρήστες για να σταματήσουν την παρακολούθηση – πουλώντας αντίθετα δεδομένα παρακολούθησης. Συνδυασμένα, φτάνουν πάνω από 5.5 εκατομμύρια χρήστες.
Εάν το πρόγραμμα αποκλεισμού διαφημίσεων έχει πολιτική απορρήτου μεγαλύτερη από δύο παραγράφους, διαβάστε την.
Σχήμα 4. Προτεινόμενο πρόγραμμα αποκλεισμού διαφημίσεων στο Chrome Store
Αυτές δεν είναι οι μεγαλύτερες επεκτάσεις στη λίστα, αλλά δείχνουν πόσο μακριά φτάνει το μοντέλο πώλησης δεδομένων.
Από τους 82 επιβεβαιωμένους πωλητές, οι 29 είναι εργαλεία πληροφοριών πωλήσεων B2B. Η επιχείρησή τους is δεδομένα, επομένως η ίδια η αποκάλυψη δεν αποτελεί έκπληξη. Δεν τα υπολογίζουμε μαζί με τις επεκτάσεις που απευθύνονται στον καταναλωτή.
Αλλά ανήκουν σε αυτήν τη συζήτηση. Αυτές οι επεκτάσεις βρίσκονται σε εταιρικά μηχανήματα. Αυτό σημαίνει ότι η συμπεριφορά περιήγησης των εργαζομένων, όπως οι εσωτερικές διευθύνσεις URL, οι πίνακες ελέγχου SaaS και η ερευνητική δραστηριότητα, ρέει σε εμπορικές βάσεις δεδομένων που μπορούν να αγοράσουν οι ανταγωνιστές σας. Ο κίνδυνος δεν αφορά την εξαπάτηση των χρηστών. Πρόκειται για την έξοδο εταιρικών δεδομένων μέσω ενός καναλιού που κανείς δεν παρακολουθεί.
Οι περισσότερες αξιολογήσεις ασφάλειας επεκτάσεων επικεντρώνονται σε δικαιώματα ή γνωστούς κακόβουλους δείκτες – επισημαίνοντας επεκτάσεις που ζητούν υπερβολική πρόσβαση ή αντιστοιχίζουν πληροφορίες απειλών. Αυτό εντοπίζει κακόβουλο λογισμικό. Δεν εντοπίζει μια επέκταση που διατηρεί ανοιχτά το δικαίωμα να πουλήσει τα δεδομένα περιήγησής σας.
Μια επέκταση με αποκάλυψη πώλησης δεδομένων δεν αποτελεί υποθετικό κίνδυνο. Είναι μια δηλωμένη επιχειρηματική πρακτική, η οποία βρίσκεται σε ένα έγγραφο που οι υπάλληλοί σας αποδέχτηκαν χωρίς να το διαβάσουν.
Τρία ερωτήματα που αξίζει να τεθούν:
Τα περισσότερα προγράμματα περιήγησης υποστηρίζουν ήδη κεντρική διαχείριση επεκτάσεων μέσω πολιτικών επιχειρήσεων – Ρυθμίσεις επεκτάσεων του Chrome, πολιτικές ομάδας του Edge, διαμορφώσεις επιχειρήσεων του Firefox. Εάν δεν έχετε πολιτική διακυβέρνησης επεκτάσεων, αυτό είναι το πρώτο βήμα. Εάν έχετε, προσθέστε την αναθεώρηση της πολιτικής απορρήτου στα κριτήρια αξιολόγησης. Τα δικαιώματα από μόνα τους δεν σας λένε αρκετά.
Για τον σκοπό αυτό, η LayerX πρόσθεσε ένα νέο φίλτρο για την ανίχνευση και το φιλτράρισμα (και τον αποκλεισμό, εάν το επιθυμεί) επεκτάσεων που είτε δεν έχουν καθόλου πολιτική απορρήτου είτε διατηρούν το δικαίωμα να πουλήσουν προσωπικά δεδομένα.
Εξετάστε το ενδεχόμενο αποκλεισμού επεκτάσεων που είτε αποκαλύπτουν δεδομένα χρήστη που πωλούν είτε δεν δημοσιεύουν καθόλου πολιτική απορρήτου.
Σχήμα 5. Φίλτρο απορρήτου δεδομένων επέκτασης LayerX
Οι επεκτάσεις του προγράμματος περιήγησης είναι από τα πιο ισχυρά και λιγότερο ελεγμένα εργαλεία του ιστού. Ενώ μεγάλο μέρος της προσοχής δίνεται σε κακόβουλα προγράμματα που κλέβουν ενεργά δεδομένα χρηστών και εταιρειών, οι παραβιάσεις απορρήτου μπορεί να ακούγονται συνηθισμένες, αλλά μπορούν επίσης να είναι επικίνδυνες.
Η ανάγνωση της Πολιτικής Απορρήτου κάθε επέκτασης που έχει κάθε χρήστης στον οργανισμό σας μπορεί να οδηγήσει σε εκατοντάδες ή χιλιάδες μεμονωμένες επεκτάσεις. Προφανώς, αυτό δεν είναι εφικτό.
Αντ' αυτού, οι οργανισμοί πρέπει να αρχίσουν να αναπτύσσουν αυτοματοποιημένα εργαλεία που μπορούν να περιορίσουν τις ύποπτες επεκτάσεις και να λάβουν υπόψη τις ρυθμίσεις απορρήτου.
Αυτή δεν είναι μια ιστορία για κακόβουλο λογισμικό. Κανείς δεν σας χάκαρε. Κανείς δεν έκλεψε τίποτα. Οι επεκτάσεις που χρησιμοποιείτε αυτή τη στιγμή ενδέχεται να πωλούν τα δεδομένα περιήγησής σας — και σας είπαν ότι θα το έκαναν. Βρίσκεται ακριβώς εκεί στην πολιτική απορρήτου. Σελίδα 4. Παράγραφος 7. Αυτή που κανείς δεν διαβάζει.
