Popularna wtyczka Chrome od prawie roku szpiegowała > 1 mln użytkowników

dodał 9 kwietnia 2015 o 20:23 w kategorii Prywatność  z tagami:
Popularna wtyczka Chrome od prawie roku szpiegowała > 1 mln użytkowników

Wtyczka do Google Chrome, służąca do wykonywania zrzutów ekranu i pobrana ponad 1,2 mln razy regularnie wysyłała do swojego serwera szczegółowe informacje o każdej stronie otwartej przez użytkownika.

Badacze z firmy ScrapeSentry odkryli, że wtyczka Webpage Screenshot przesyła do swojego serwera informacje o odwiedzanych stronach, w tym także ich tytuły, przez co w obce ręce trafiają takie dane jak adresy email, tematy wiadomości poczty czy też wewnętrzne dane firmowe. Do tego wtyczka próbowała sprytnie ukryć fakt posiadania takich funkcji. Co ciekawe na takie działanie zgadzali się użytkownicy, którzy nie czytali umowy licencyjnej.

Bomba z opóźnionym zapłonem

Wszystkie wtyczki znajdujące się w sklepie Google Chrome powinny przechodzić weryfikację pod kątem złośliwej zawartości. Nie wiemy, jak wygląda proces weryfikacji, ale najwyraźniej twórcy złośliwej wtyczki znaleźli w nim lukę. Wtyczka po instalacji przez 7 dni nie przejawiała żadnego niebezpiecznego zachowania. Po tym czasie odpowiednie warunki w pliku konfiguracyjnym pobieranym z sieci sprawiały, że wczytywała inny zestaw poleceń i zaczynała swoją szpiegowską działalność.

Strona wtyczki pokazywała 3 razy więcej pobrań niż sklep Google

Strona wtyczki pokazywała 3 razy więcej pobrań niż sklep Google

Analiza kodu źródłowego wtyczki oraz obserwacja jej działania pozwoliły ustalić, że do serwera swojego twórcy przesyłała takie informacje jak pełną ścieżkę otwartego adresu URL, pełen tytuł zakładki, informację o kraju użytkownika oraz jego unikatowy identyfikator. Ze względu na fakt, że wiele stron WWW w tytule umieszcza istotne dane, w ten sposób nieświadomy użytkownik mógł ujawnić wiele informacji o swojej tożsamości, pracy czy życiu prywatnym. Wystarczyło wejść na stronę swojej poczty elektronicznej, by poinformować twórców wtyczki o swoim adresie email, liczbie nieprzeczytanych wiadomości czy tematach wiadomości otwieranych w nowym oknie.

Wtyczka dodatkowo próbowała ukryć swoje działanie poprzez zaciemnianie wysyłanych informacji. Algorytm zaciemniania zapewniał, że nie odkryje go żaden mechanizm automatycznej analizy – przesyłane dane były dwa razy kodowane w base64, następnie ciąg był odwracany a na jego początku była doklejana litera a. Dane były wysłane do serwera WWW znajdującego się w USA i umieszczane w parametrze żądania POST.

Nie ma pewności, kto stworzył wtyczkę. Badacze z innej firmy, Heimdal Security (którzy twierdzą, że również odkryli złośliwe działanie wtyczki, choć o dzień później jeśli wierzyć znacznikom czasu na stronach internetowych) zwrócili uwagę, że domena w której znajduje się serwer wtyczki zarejestrowana jest na obywatela Izraela.

Użytkownicy na wszystko się zgodzili, choć nie czytali

Dopiero wnikliwa lektura warunków licencji wtyczki pokazuje, że każdy z jej użytkowników, który te warunki zaakceptował, zgodził się że jego dane osobowe i dotyczące zachowania będą zbierane, analizowane i sprzedawane. Co prawda takie zachowanie wtyczki i zawarcie tej informacji jedynie w umowie licencyjnej mogły sprawić, że wtyczka szybko zniknęła ze sklepu Google, ale warto pochylić się nad jeszcze jedną informacją. Badacze F-Secure zwrócili uwagę, ze link do treści umowy licencyjnej prowadził przez skracacz linków, który umożliwia weryfikację, ile osób w niego kliknęło.

Fragment umowy, w której użytkownik oddaje obie nerki

Fragment umowy, w której użytkownik oddaje obie nerki

Okazuje się, że z co najmniej  1 224 811 użytkowników, którzy zainstalowali wtyczkę, w link do umowy licencyjnej kliknęło w najlepszym przypadku 146. Jedna na 8389 osób. Oczywiście nie oznacza to, ze osoby te przeczytały umowę – ten odsetek pewnie jest jeszcze niższy. Smutna ta statystyka.