Nowe badania firmy LayerX Security ujawniają liczne sieci rozszerzeń przeglądarki, które gromadzą dane użytkowników i odsprzedają je w celach zarobkowych – i to całkowicie legalnie. W przeciwieństwie do złośliwych rozszerzeń, które podszywają się pod legalne rozszerzenia i działają w ukryciu, te rozszerzenia wyraźnie informują użytkowników o zamiarze gromadzenia i sprzedaży ich danych. Jest to zapisane w Polityce Prywatności, tyle że nikt jej nie czyta.
Firma LayerX przeanalizowała polityki prywatności tysięcy rozszerzeń i odkryła ponad 80 różnych rozszerzeń, które gromadzą i sprzedają dane klientów. Niektóre z tych rozszerzeń to:
Choć rozszerzenia przeglądarki mogą wydawać się nieszkodliwe, wyniki badań wskazują na ryzyko naruszenia prywatności, jakie może wystąpić w wyniku nieuregulowanego korzystania z rozszerzeń.
Polityka prywatności. Czytanie jej jest jak oglądanie schnącej farby. Dla większości użytkowników jest to gorsze niż czytanie drobnego druku w umowach kredytowych; a to już coś znaczy.
No cóż, tak właśnie zrobiliśmy.
Badacze bezpieczeństwa LayerX, Dar Kahllon i Guy Erez, przeanalizowali polityki prywatności tysięcy rozszerzeń przeglądarek dostępnych w oficjalnych sklepach. Szukali jednego: czy wydawca wyraźnie zastrzegł sobie prawo do… sprzedawaj dane użytkownika.
I je znaleźliśmy. Nasza analiza wykazała co najmniej 80 takich rozszerzeń, z których niektóre działały w zmowie, a wszystkie zostały opracowane przez tego samego twórcę. Rozwiązania te obejmują zarówno blokery reklam i narzędzia do strumieniowania, jak i pomoce w aplikowaniu o pracę, rozszerzenia nowej karty i platformy do analizy sprzedaży B2B.
Większość tych zasad nie mówi „sprzedajemy Twoje dane”. Mówią „możemy sprzedać”. To zabezpieczenie prawne – ale oznacza to, że Twoje dane mogą zostać sprzedane w dowolnym momencie, a Ty już wyraziłeś na to zgodę. Oto, jak to wygląda w praktyce:
„Możemy sprzedawać lub udostępniać Twoje dane osobowe osobom trzecim”.
„Informacje te mogą zostać sprzedane lub udostępnione partnerom biznesowym”.
Cóż, uczciwie mówiąc, większość tak nie uważa.
Rysunek 1. Przejrzystość polityki prywatności
Według LayerX Raport bezpieczeństwa rozszerzeń przeglądarek Enterprise 202671% wszystkich rozszerzeń w Chrome Web Store w ogóle nie publikuje polityki prywatności.
W rezultacie ponad 73% użytkowników ma zainstalowane co najmniej jedno rozszerzenie bez polityki prywatności, bez przejrzystości dotyczącej sposobu przetwarzania ich danych. Oznacza to, że nasza analiza mogła opierać się jedynie na 29% użytkowników, którzy mają politykę prywatności.
A jeśli założymy, że niektóre z tych rozszerzeń bez żadnej polityki prywatności również odsprzedają Twoje dane – a nie ma powodu zakładać, że są lepsze – rzeczywista liczba rozszerzeń, które mogą sprzedawać Twoje dane w sklepie Chrome Web Store, wynosi kilkadziesiąt tysięcy.
Stworzyliśmy narzędzie do analizy polityk prywatności powiązanych z rozszerzeniami przeglądarek w oficjalnych sklepach, łączące automatyczną klasyfikację z ręczną weryfikacją.
Zaczynając od około 9,000 rozszerzeń z adresami URL polityk prywatności w naszej bazie danych, udało nam się pobrać i przeanalizować 6,666 polityk.
Rurociąg przebiegał w trzech etapach:
Ostateczny zestaw danych obejmuje wyłącznie rozszerzenia, których polityki prywatności wskazują na rzeczywistą komercyjną sprzedaż danych użytkowników stronom trzecim
Choć te liczby mogą wydawać się niskie, należy pamiętać, że dotyczą one wyłącznie rozszerzeń z polityką prywatności (stanowią one mniej niż jedną trzecią wszystkich rozszerzeń) i tych, które faktycznie informują o tym, co robią z Twoimi danymi. Prawdziwa liczba jest prawie na pewno wyższa.
Oto kilka naszych najważniejszych ustaleń:
Podczas przeglądania potwierdzonych sprzedawców, wciąż pojawiał się pewien schemat. Różne rozszerzenia, różne platformy streamingowe, ale ten sam trzyliterowy prefiks: QVI – skrót od „Quality Viewership Initiative”.
To, co wyglądało na niepowiązane ze sobą narzędzia, okazało się pojedynczą operacją: 24 rozszerzenia przeglądarki – 21 aktualnie aktywnych, 3 usunięte – obejmujące niemal wszystkie główne usługi przesyłania strumieniowego.
Wszystkie opublikowane przez HideApp LLCzarejestrowana pod adresem 1021 East Lincolnway, Cheyenne, Wyoming – adres współdzielony przez setki innych spółek LLC za pośrednictwem usługi agenta rejestrowego – i działająca pod marką „dogooodapp".
Największe rozszerzenia w sieci:
W ramach wszystkich 21 aktywnych rozszerzeń sieć dociera do prawie użytkownicy 800,000.
Rysunek 2. Strona rozszerzenia w sklepie Chrome Store dla rozszerzenia „Niestandardowy obraz profilowy dla serwisu Netflix [QVI]”
Jednak ich polityka prywatności mówi coś, czego nie ma w ofercie sklepu. Te rozszerzenia zbierają obszerne informacje, w tym:
Gromadzą również informacje na temat wieku i płci, a jeśli nie podasz danych demograficznych, porównują Twój adres e-mail z zewnętrznymi bazami danych demograficznych, aby uzupełnić luki.
Rysunek 3. Dane określone jako zebrane zgodnie z polityką prywatności rozszerzenia „Niestandardowy obraz profilowy dla serwisu Netflix [QVI]”
Polityka opisuje zasady sprzedaży raportów twórcom treści i studiom, platformom streamingowym, firmom badawczym zajmującym się mediami i agencjom marketingowym – a także „organizacjom, które kupują anonimowe dane dotyczące oglądalności”.
Łącząc to wszystko, mamy do czynienia z rozproszonym systemem pomiaru oglądalności działającym w przeglądarkach użytkowników. Jeden anonimowy wydawca gromadzi dane o zachowaniach widzów na wszystkich głównych platformach streamingowych, gromadząc informacje o tym, co ogląda prawie 800 000 osób, kiedy i jak wchodzą w interakcje z treściami. Żaden z tych użytkowników nie wyraził na to zgody. Prawnie rzecz biorąc, zaakceptowali warunki, klikając „Dodaj do Chrome”. Praktycznie nikt ich nie przeczytał.
Potwierdziliśmy osiem blokerów reklam które zastrzegają sobie prawo do sprzedaży lub udostępniania danych użytkowników stronom trzecim. Narzędzia, które ludzie instalują, aby zatrzymać śledzenie – zamiast tego sprzedają dane śledzenia. Łącznie osiągają ponad 5.5 milionów użytkowników.
Jeśli polityka prywatności Twojego programu blokującego reklamy jest dłuższa niż dwa akapity, przeczytaj ją.
Rysunek 4. Polecany bloker reklam w sklepie Chrome
Nie są to największe rozszerzenia na liście, ale pokazują, jak szeroki zasięg ma model sprzedaży danych.
Spośród 82 potwierdzonych sprzedawców, 29 z nich oferuje narzędzia do analizy sprzedaży B2B. Ich działalność is danych, więc samo ujawnienie nie jest zaskoczeniem. Nie wliczamy ich do rozszerzeń przeznaczonych dla konsumentów.
Ale ich miejsce w tej dyskusji. Te rozszerzenia działają na komputerach firmowych. Oznacza to, że aktywność przeglądania stron przez pracowników, taka jak wewnętrzne adresy URL, pulpity nawigacyjne SaaS i aktywność badawcza, trafia do komercyjnych baz danych, które mogą kupić Twoi konkurenci. Ryzyko nie polega na tym, że użytkownicy zostaną oszukani. Chodzi o to, że dane firmowe wydostaną się przez kanał, którego nikt nie śledzi.
Większość ocen bezpieczeństwa rozszerzeń koncentruje się na uprawnieniach lub znanych wskaźnikach złośliwego oprogramowania – oznaczając rozszerzenia, które żądają nadmiernego dostępu lub pasują do analizy zagrożeń. To wychwytuje złośliwe oprogramowanie. Nie wychwytuje rozszerzeń, które otwarcie zastrzegają sobie prawo do sprzedaży danych przeglądania.
Rozszerzenie z ujawnieniem danych o sprzedaży nie stanowi hipotetycznego ryzyka. To ustalona praktyka biznesowa, zawarta w dokumencie, który Twoi pracownicy zaakceptowali bez czytania.
Warto zadać sobie trzy pytania:
Większość przeglądarek obsługuje już scentralizowane zarządzanie rozszerzeniami za pośrednictwem polityk korporacyjnych – ustawień rozszerzeń w Chrome, polityk grupowych w Edge, konfiguracji korporacyjnych w Firefoksie. Jeśli nie masz polityki zarządzania rozszerzeniami, to pierwszy krok. Jeśli masz, dodaj weryfikację polityki prywatności do kryteriów oceny. Same uprawnienia to za mało.
W tym celu firma LayerX dodała nowy filtr, który wykrywa i filtruje (oraz blokuje, jeśli jest taka potrzeba) rozszerzenia, które nie mają żadnej polityki prywatności lub zastrzegają sobie prawo do sprzedaży danych osobowych.
Rozważ zablokowanie rozszerzeń, które albo ujawniają sprzedaż danych użytkowników, albo w ogóle nie publikują polityki prywatności.
Rysunek 5. Filtr prywatności danych rozszerzenia LayerX
Rozszerzenia przeglądarek należą do najpotężniejszych i najmniej kontrolowanych narzędzi w internecie. Chociaż większość uwagi skupia się na złośliwych programach, które aktywnie kradną dane użytkowników i firm, naruszenia prywatności mogą wydawać się banalne, ale mogą być również ryzykowne.
Przejrzenie i przeczytanie Polityki Prywatności każdego rozszerzenia, z którego korzysta każdy użytkownik w Twojej organizacji, może skutkować posiadaniem setek lub tysięcy pojedynczych rozszerzeń; oczywiste jest, że nie jest to wykonalne.
Zamiast tego organizacje muszą zacząć wdrażać zautomatyzowane narzędzia, które będą mogły blokować podejrzane rozszerzenia i uwzględniać ustawienia prywatności.
To nie jest historia o złośliwym oprogramowaniu. Nikt cię nie zhakował. Nikt niczego nie ukradł. Rozszerzenia, z których teraz korzystasz, mogą sprzedawać twoje dane przeglądania – i ostrzegały cię, że to zrobią. Jest to napisane w polityce prywatności. Strona 4. Akapit 7. Ten, którego nikt nie czyta.
