Wtyczka Amazona umozliwia podsłuchiwanie HTTPS

dodał 12 lipca 2013 o 08:22 w kategorii Drobiazgi  z tagami:

Amazon 1Button, oficjalne rozszerzenie Amazona dla Google Chrome, okazuje się być bardzo niebezpiecznym narzędziem. Co prawda niezbyt popularne w Polsce, używane jest przez prawie 2 miliony internautów, którzy nieświadomie, ufając Amazonowi, udostępniają dużo więcej informacji, niż można by się spodziewać.

Krzysztof Kotowicz przeanalizował rozszerzenie i znalazł wiele powodów, dla których lepiej jest je odinstalować. Poza informowaniem Amazona o każdym odwiedzonym linku, wstrzykiwaniem zewnętrznego kodu do odwiedzanych stron (!), przesyłaniem np. wyników wyszukiwań Google użytkownika do serwisu Alexa (??), potrafi również przechwytywać i przesyłać zawartość stron przesyłanych po HTTPS. Konfiguracja „zlecenia” przechwytywania stron przesyłana jest po HTTP  – wystarczy ją zmodyfikować, by treść stron bezpiecznych lądowała w niezaszyfrowanym połączeniu, możliwym do podsłuchania. Nieładnie, Amazon, nieładnie…

Zainteresowanym czytelnikom polecamy lekturę całego wpisu Krzysztofa.