Wtyczka do Google Chrome, służąca do wykonywania zrzutów ekranu i pobrana ponad 1,2 mln razy regularnie wysyłała do swojego serwera szczegółowe informacje o każdej stronie otwartej przez użytkownika.
Badacze z firmy ScrapeSentry odkryli, że wtyczka Webpage Screenshot przesyła do swojego serwera informacje o odwiedzanych stronach, w tym także ich tytuły, przez co w obce ręce trafiają takie dane jak adresy email, tematy wiadomości poczty czy też wewnętrzne dane firmowe. Do tego wtyczka próbowała sprytnie ukryć fakt posiadania takich funkcji. Co ciekawe na takie działanie zgadzali się użytkownicy, którzy nie czytali umowy licencyjnej.
Bomba z opóźnionym zapłonem
Wszystkie wtyczki znajdujące się w sklepie Google Chrome powinny przechodzić weryfikację pod kątem złośliwej zawartości. Nie wiemy, jak wygląda proces weryfikacji, ale najwyraźniej twórcy złośliwej wtyczki znaleźli w nim lukę. Wtyczka po instalacji przez 7 dni nie przejawiała żadnego niebezpiecznego zachowania. Po tym czasie odpowiednie warunki w pliku konfiguracyjnym pobieranym z sieci sprawiały, że wczytywała inny zestaw poleceń i zaczynała swoją szpiegowską działalność.
Strona wtyczki pokazywała 3 razy więcej pobrań niż sklep Google
Analiza kodu źródłowego wtyczki oraz obserwacja jej działania pozwoliły ustalić, że do serwera swojego twórcy przesyłała takie informacje jak pełną ścieżkę otwartego adresu URL, pełen tytuł zakładki, informację o kraju użytkownika oraz jego unikatowy identyfikator. Ze względu na fakt, że wiele stron WWW w tytule umieszcza istotne dane, w ten sposób nieświadomy użytkownik mógł ujawnić wiele informacji o swojej tożsamości, pracy czy życiu prywatnym. Wystarczyło wejść na stronę swojej poczty elektronicznej, by poinformować twórców wtyczki o swoim adresie email, liczbie nieprzeczytanych wiadomości czy tematach wiadomości otwieranych w nowym oknie.
Wtyczka dodatkowo próbowała ukryć swoje działanie poprzez zaciemnianie wysyłanych informacji. Algorytm zaciemniania zapewniał, że nie odkryje go żaden mechanizm automatycznej analizy – przesyłane dane były dwa razy kodowane w base64, następnie ciąg był odwracany a na jego początku była doklejana litera a. Dane były wysłane do serwera WWW znajdującego się w USA i umieszczane w parametrze żądania POST.
Nie ma pewności, kto stworzył wtyczkę. Badacze z innej firmy, Heimdal Security (którzy twierdzą, że również odkryli złośliwe działanie wtyczki, choć o dzień później jeśli wierzyć znacznikom czasu na stronach internetowych) zwrócili uwagę, że domena w której znajduje się serwer wtyczki zarejestrowana jest na obywatela Izraela.
Użytkownicy na wszystko się zgodzili, choć nie czytali
Dopiero wnikliwa lektura warunków licencji wtyczki pokazuje, że każdy z jej użytkowników, który te warunki zaakceptował, zgodził się że jego dane osobowe i dotyczące zachowania będą zbierane, analizowane i sprzedawane. Co prawda takie zachowanie wtyczki i zawarcie tej informacji jedynie w umowie licencyjnej mogły sprawić, że wtyczka szybko zniknęła ze sklepu Google, ale warto pochylić się nad jeszcze jedną informacją. Badacze F-Secure zwrócili uwagę, ze link do treści umowy licencyjnej prowadził przez skracacz linków, który umożliwia weryfikację, ile osób w niego kliknęło.
Fragment umowy, w której użytkownik oddaje obie nerki
Okazuje się, że z co najmniej 1 224 811 użytkowników, którzy zainstalowali wtyczkę, w link do umowy licencyjnej kliknęło w najlepszym przypadku 146. Jedna na 8389 osób. Oczywiście nie oznacza to, ze osoby te przeczytały umowę – ten odsetek pewnie jest jeszcze niższy. Smutna ta statystyka.
Komentarze
Ciekawe, ile jest jeszcze takich…
…wtyczek, czy osób nie czytających umów pisanych prawniczym językiem po angielsku…? ;>
Ojej, to chyba była pierwsza wtyczka, której używałem…
Co prawda od co najmniej roku jest wyłączona i nieużywana przeze mnie, jednak pamiętam, że wcześniej była aktywna.
dobrze, że korzystam z Nimbusa :P
a gdzie zapomniany [print screen] + mspaint + [ctrl+v] ;)
Ludzie są zbyt leniwi żeby używać skrótów klawiszowych i wklejania do byle programiku obsługującego grafikę, wolą instalować specjalne programy do tego. Pewnie połowa użytkowników komputera nie ma pojęcia, iż można tym sposobem (prtScr) zrobić także zrzut tylko aktywnego okna – wystarczy wcześniej wcisnąć i przytrzymać lewy Alt…
Podejrzewam, że takich wtyczek używa się w celu zrobienia SS całej strony, w tym przypadku robienie tego ręcznie może być uciążliwe. Firefox jest o tyle wygodny, że umożliwia wykonanie takiego zrzutu bez żadnych dodatków (shift+f2 => screenshot –fullpage)
O, świetny tip @andraf, dzięki! Wcześniej jak musiałem robić taki screen to doklejałem kolejno w paintcie, co przy kilku stronach było mega uciążliwe.
@andraf dzięki wielkie za hinta. Nie znałem tej funkcjonalności Firefoksa.
Do Screenshotów używałem dotychczas różnych wtyczek, aktualnie Abduction, która w dodatku nie zawsze chce działać pod Linuksem.
@andraf Dzięki za pro-tip ;)
A jak zrobić zrzut strony www dłuższej niż jeden ekran print screenem?
Wygoda i niewiedza Panie.
można uzyć do tego celu też dropboxa, od razu mamy zapis w chmurze
Mam 2 podobne wtyczki od dawna a o tej nawet nie wiedziałem :-/
Przecież chrome samo w sobie jest już szpiegiem.Więc chyba osobom go używającym nie zależy na prywatności?
tak to jest jak sie ma windowsa i trzeba kombinowac, pod linuxem przycisk PRTSCR i plik ze zrzutem jest na dysku
Na win8 printscreen sam zapisuje w Obrazach.
Google już zablokował wtyczkę. W moim Chrom wtyczka została wyłączona z adnotacją „To rozszerzenie narusza zasady Chrome Web Store”.
Zastanawiam sie po co komu dodatkowa aplikacja / plugin do screenshotow jesli kazdy system lacznie z telefonami ma odpowiedni skrot klawiaturowy.
To podaj mi skrót dzięki któremu zrzucę CAŁĄ stronę internetową, a nie tylko jej widoczną na monitorze część.
@Adam Z3S. Poprzedni tytuł był bardziej chwytliwy… ;>
Jaka szybka reakcja… :O ;)
Ciekawe kto i po co pisał ten artykuł. Cytaty. „Badacze z firmy ScrapeSentry odkryli,” „Badacze z innej firmy, Heimdal Security (którzy twierdzą, że również odkryli złośliwe działanie wtyczki” Ale się namęczyli ci BADACZE. :) :) :) A wystarczyło przeczytać umowę licencyjną :) Cytat. „Co ciekawe na takie działanie zgadzali się użytkownicy, którzy nie czytali umowy licencyjnej.”
Czyli w umowie licencyjnej jest wzmianka odnośnie przesyłania danych, ale ci BADACZE nie czytają tych umów i muszą pokazać jacy to oni są znawcami.