Populære browserudvidelser til Google Chrome og Mozilla Firefox Indsamling og muligvis fortjeneste af brugerdata?
Browserudvidelser hjælper med at udvide funktionaliteten eller stoppe irriterende aspekter af webbrowsere. Imidlertid har flere populære udvidelser til Mozilla Firefox og Google Chrome angiveligt indsamlet og oplagret en masse data fra brugerne af disse browsere. Udvidelserne har ikke kun indsamlet data, men de ser også ud til at tjene på det samme. I øvrigt henter, installerer og aktiverer millioner af brugere stadig aktivt browserudvidelserne uden at vide om de ekstra processer, som disse udvidelser kører. Udover forbruget af båndbredde og truende dataintegritet kan udvidelserne også være til hinder for produktiviteten.
Der er flere populære browserudvidelser. Millioner af internetbrugere søger ivrigt efter og downloader dem for at tilføre ekstra funktionalitet. Flere udvidelser forenkler browsing, fjerner rod, blokerer annoncer eller irriterende JavaScript-applets, hvilket gør browsing mere produktiv eller visuelt tiltalende og mange andre ting. Mens størstedelen af browserudvidelser til populære webbrowsere er udviklet og vedligeholdt af dedikerede udviklere, er nogle designet og implementeret med skjulte motiver. En nyligt offentliggjort rapport omfattede en analyse af et par browserudvidelser og deres ulovlige opførsel, der bringer brugerne og deres data i fare. Rapporten afslørede, at adskillige populære browserudvidelser til Google Chrome og Mozilla Firefox brugte en sofistikeret browserindsamlingsordning.
DataSpii-rapporten afslører, hvordan nogle populære browserudvidelser indsamlede data, mens man undgår mistanke og afsløring
Dataindsamlingen og forsøg på at drage fordel af det samme er ret seriøs. Det, der lige så meget vedrører, er imidlertid metoderne, der er implementeret af udviklerne, der designet og implementeret disse populære browserudvidelser til Google Chrome og Mozilla Firefox. Udvidelserne havde nogle kloge programmeringer til at ligge i dvale i de første dage efter installationen. Dette narre sandsynligvis brugerne til at antage, at udvidelserne var sikre og pålidelige.
Rapporten, der kroniserer den skyldige browserudvidelse, kaldes 'DataSpii'. Den ekspansive rapport er udarbejdet af sikkerhedsforsker Sam Jadali. DataSpii-rapporten nævner de skyldige, der formåede at indsamle data fra millioner af Mozilla Firefox og Google Chrome webbrowser brugere. Desuden afslører rapporten også, hvordan disse tilsyneladende uskyldige og produktivitetsfremmende browserudvidelser formåede at slippe af sted med dataindsamling så længe. Rapporten beskriver også de teknikker, der er implementeret af udviklerne.
Jadali er grundlæggeren af internethostingstjenesten Host Duplex. Han bemærkede, at noget ikke var helt rigtigt, da han fandt private forumlink af klienter udgivet af analysefirmaet Nacho Analytics. Desuden havde platformen også oplysninger om interne linkdata fra større virksomheder som Apple, Tesla eller Symantec. Det er overflødigt at nævne, at disse er quire private links. Med andre ord bør ingen tredjepartsleverandører, websteder eller online-platforme generelt eje det samme. Efter omfattende analyse var sikkerhedsforskeren overbevist om, at det var nogle af de udvidelser, som brugerne uforvarende havde downloadet og installeret på webbrowserne, der indsamlede eller lækkede oplysninger.
Data Grabbing Browser-udvidelser havde indbygget kode for at tilsløre deres sekundære formål
Jakten på platforme eller programmer, der indsamler data, er i sig selv en vanskelig opgave. Imidlertid var det endnu vanskeligere at indsamle beviser til nul på browserudvidelser. Dette skyldes, at udvidelserne fulgte en systematisk proces, der var ret sekventiel og gradvis. Med andre ord fungerede udvidelserne langsomt og stille for at undgå afsløring og sletning. Derudover kommunikerede udvidelserne med deres masterservere på en meget forskellig og kompleks måde.
Efter at browserudvidelsen blev downloadet, fortsatte den med at udføre sine tilsigtede opgaver ganske godt. Udvidelsen fortsatte med at arbejde i cirka tre uger for at skabe et indtryk af tillid og sikre, at browserbrugeren ikke sletter det samme. Lige efter installationen kontaktede udvidelserne imidlertid udviklerudpegede servere og rapporterede deres installationstid, installationsversion, nuværende version og unikke udvidelses-id. Efter cirka to uger modtog udvidelserne en automatisk opdatering, men de indsamlede stadig ingen browserhistorik.
Efter tre uger var gået, og udvidelserne stadig var installeret, modtog de en anden automatisk opdatering, efter at de gendannede kontakten med de udpegede servere og opdaterede deres status. Men denne gang ville de downloade deres første datapakke eller nyttelast. Denne nyttelast indeholdt en minificeret JavaScript-fil. Det var dette script, der indsamlede brugerens browserdata og sendte dem til en udviklerkontrolleret server.
Interessant nok blev nyttelasten aldrig downloadet eller gemt i udvidelsesmappen. I stedet landede de i browserens primære systemprofilmappe. Det er overflødigt at tilføje, fordi nyttelastene eller JavaScript er gemt i browserens systemprofil, gør udvidelserne det væsentligt sværere for efterforskere at fange de skyldige hurtigere. I øvrigt opdaterer eller rører scriptsne ikke den aktuelle udvidelse, der downloadede dem. Derfor ser alt normalt ud på overfladen.
Medmindre en forsker tager smerte med at fokusere på små ændringer i browserens systemprofil på offerets enhed, er det ikke muligt blot at analysere browseren, dens installationsmappe og udvidelsesmappen for at opdage mistænkelig opførsel, bemærkede Jadali: “Hvis folk undersøger selve udvidelsen, vil de ikke se instruktionen om dataindsamling. Det er et helt andet sted. Vi gentog dette eksperiment seks gange under adskillige scenarier. Hver gang opnåede vi det samme resultat. Tidligere er lignende [forsinkende] taktikker blevet brugt til at undgå dataindsamling fra andre browserudvidelser.”
Ud over de ovennævnte teknikker for at undgå detektion, anvendte browserudvidelserne base64-kodning og datakomprimeringsteknikker. Sammen tilslørede softwarestykkerne de data, der blev uploadet. Dette intensiverede kompleksiteten af de data, der sendes, og gjorde det derfor endnu vanskeligere at fastslå, om data blev indsamlet og sendt diskret til eksterne servere. I det væsentlige blev dataene rutinemæssigt morferet og maskeret. Nogle af udviklerne bag udvidelserne tilpasser regelmæssigt kodningen og komprimeringen, inden de indsamler og uploader data.
Hvilke populære browserudvidelser var skyldige i at indsamle og muligvis sælge brugerdata?
I alt opdagede forskeren omkring otte fornærmende browserudvidelser, der indsamlede data, sendte dem til eksterne servere og muligvis hjalp deres udviklere med at tjene penge. Det er ikke umiddelbart klart, om der er flere. Det er dog interessant at bemærke, at størstedelen af dataindsamlingsbrowserudvidelserne er designet til Google Chrome. Kun tre af de otte fornærmende udvidelser skulle installeres på Mozilla Firefox.
Af de tre browserudvidelser til Mozilla Firefox indsamlede to af udvidelserne kun data, hvis de blev installeret fra tredjepartswebsteder og ikke Mozilla AMO. Som en forholdsregel advares brugerne stærkt om ikke at downloade browserudvidelser fra ikke-tillid til websteder. Det er bedst at undgå alle sådanne tilføjelser fra tredjepartsplatforme.
En hurtig søgning efter de data-stjæle browserudvidelser afslører, at alle er blevet fjernet. Mens der kun var en på Mozilla AMO, er de fem udvidelser til Google Chrome fraværende i Chrome Webshop. I øvrigt er dette ikke den første forekomst af browserudvidelser, der forsøger at stjæle data. Google såvel som Mozilla rutinemæssigt fanger og forbyder sådanne udvidelser fra deres butik. Eksperter hævder dog, at browserproducenter kan gøre sikkerhedskontrollen endnu strengere, og nogle interne analyser og processer for udvidelser downloades fra tredjepartswebsteder.