Ochroniarz powinien chronić powierzone dobra. Czasem jednak zamiast chronić, sam je wykrada. Podobnie bywa z wtyczkami, które mają zwiększać naszą prywatność w sieci – a zamiast tego sprzedają nasze dane. Piszemy, których unikać, a którym zaufać.
W ostatnich latach skala ataków na prywatność internautów z użyciem rozszerzeń do przeglądarek znacznie wzrosła. Do naruszeń prywatności przyczyniają się nawet te, które obiecywały ją chronić. Biznes obrotu danymi i ich analizy, a także reklamy ukierunkowanej, to dziś maszyna napędzana przez wielkie korporacje, warta dobrych kilka miliardów dolarów i niektórzy autorzy i właściciele wtyczek ulegają pokusie.
Sprawa Web of Trust (WOT)
Świadomość wśród użytkowników, że nie ma darmowych usług i produktów, a dane to waluta, wciąż jest dość niewielka. W przypadku usług cyfrowych dostępnych “za darmo” ceną najczęściej są dane osób z nich korzystających, które same zmieniają się w produkt. Ilustracją tego problemu może być wtyczka Web of Trust (WOT) służąca do oceny wiarygodności odwiedzanych stron, która w 2016 roku znalazła się pod lupą dziennikarzy niemieckiego publicznego nadawcy radiowo-telewizyjnego Norddeutscher Rundfunk (NDR). Sprawa była również szeroko komentowana w Niemczech m.in. przez tygodnik “Der Spiegel” oraz dziennik “Frankfurter Allgemeine Zeitung” (FAZ), oraz przez największe portale internetowe na całym świecie.
Według NDR informacje o swoich użytkownikach użytkownicy wtyczki WOT sprzedawali – w rzekomo w zanonimizowanych pakietach danych – podmiotom trzecim (czytaj: reklamodawcom). Śledztwo dziennikarskie wykazało, że historia przeglądania i inne dane zawarte w przekazanych pakietach mogą łatwo zostać przypisane do konkretnych osób i ujawnić intymne szczegóły z ich życia prywatnego. Dzięki uzyskaniu dostępu do jednego z takich pakietów danych reporterzy byli w stanie dowiedzieć się m.in. o preferencjach sadomasochistycznych jednego z niemieckich sędziów, a także o trwających śledztwach policyjnych czy też planach biznesowych dużej firmy medialnej.
Zdaniem cytowanego przez NDR inżyniera zajmującego się sektorem Big Data, Andreasa Dewesa, pokazuje to absurdalność całej sytuacji. To było zaskakujące jak łatwo można odszyfrować wiele danych, a przy tym jak bardzo nie szanuje się prywatności użytkowników – powiedział. Jak zauważył pełnomocnik Hamburga ds. ochrony danych osobowych Johannes Caspar, przy przekazywaniu wrażliwych danych osobowych firmy mają obowiązek uzyskać zgodę od użytkowników, których dane są dalej przekazywane. W tym przypadku działania WOT były sprzeczne z prawem niemieckim, które nie zezwala na masowe przekazywanie informacji do firm trzecich bez uprzedniego uzyskania takiego zezwolenia.
Baza danych, do której uzyskali dostęp dziennikarze, zawierała jedynie informacje poufne dotyczące niemieckich obywateli, jednak można przypuszczać, że w innych pakietach znajdowały się dane osób z innych krajów. Rozszerzenie WOT, w chwili gdy sprawa wyszła na jaw, zostało pobrane ponad 140 mln razy. Mozilla, Opera i Chrome po licznych sygnałach ze strony użytkowników zdecydowały się na usunięcie tej wtyczki ze swoich sklepów.
Twórcy WOT wprowadzili zmiany w polityce prywatności wtyczki i znów można z niej korzystać, ale nie cieszy się już taką popularnością i zaufaniem użytkowników, jak przed ujawnieniem afery.
Fałszywe, złośliwe lub przejęte rozszerzenia
Przestępcy coraz częściej podszywają się też pod popularne rozszerzenia do przeglądarek. Co pewien czas pojawiają się doniesienia medialne – bardziej lub mniej spektakularne – o tym, że jakiejś osobie udało się skutecznie podszyć pod dodatek, który np. ma blokować reklamy lub zwiększać bezpieczeństwo internautów.
W październiku ubiegłego roku użytkownik Twittera @SwiftOnSecurity poinformował, że ponad 37 tysięcy osób dało się nabrać na fałszywą wersję AdBlocka Plus. Po interwencji internautów Google usunęło felerną wtyczkę, jednak pokazuje to, że zautomatyzowany system weryfikacji nowych dodatków nadal jest słaby i wymaga poprawy.
Google allows 37,000 Chrome users to be tricked with a fake extension by fraudulent developer who clones popular name and spams keywords. pic.twitter.com/ZtY5WpSgLt
— SwiftOnSecurity (@SwiftOnSecurity) October 9, 2017
Niecały miesiąc później serwis Bleeping Computer poinformował, że rozszerzenie dla Chrome o nazwie Browse-Secure pobierało w tle dane z Facebooka i LinkedIna, a następnie przesyłało je na serwery twórców dodatku. Wśród danych znajdowały się m.in. adresy mailowe, imiona i nazwiska, płeć osób, numery telefonów komórkowych czy daty urodzenia. Rozszerzenie kusiło użytkowników ochroną przeglądarki oraz (o ironio!) ochroną prywatności.
Innym popularnym ostatnio scenariuszem ataku jest przejęcie kontroli nad znaną wtyczką poprzez jej odkupienie lub włamanie na konto jej autora. Ofiarami takich incydentów padły Tab Manager, Live HTTP Headers i wiele innych.
Także autor NoScripta uległ pokusie łatwych pieniędzy – na stronie skryptu można było znaleźć zwodnicze reklamy niepożądanego oprogramowania.
Wydajność rozszerzeń
Warto przy tej okazji odnieść się również do kwestii wpływu rozszerzeń na szybkość ładowania stron internetowych oraz ilości przesyłanych danych. Naukowcy z Uniwersytetu Aalto w Helsinkach zbadali pięć najpopularniejszych dodatków blokujących reklamy lub służących do poprawy prywatności. Testowane były uBlock, PrivacyBadger, AdBlock, Adblock Plus oraz Ghostery. Wyniki nie były zaskakujące. Poza programem Ghostery (którego nie można zaliczyć do blokerów reklam) badacze zaobserwowali oszczędność w ilości przesyłanych danych od ok. 25 proc. do 34 proc. Najlepszy w tym zestawieniu okazał się uBlock, który zapewnia najlepszą wydajność, zarówno pod względem oszczędności danych, jak i czasu ładowania stron internetowych.
W badaniu przywołano również eksperyment amerykańskiego dziennika “The New York Times”. Po przeanalizowaniu 50 najpopularniejszych stron z wiadomościami okazało się, że ponad połowa pobieranych danych pochodzi z reklam zamieszczonych na tych stronach. Ma to realne przełożenie na rachunki, jakie przychodzi później płacić użytkownikom smartfonów za wykorzystanie określonej liczby danych pakietowych.
VPN-y też potrafią szpiegować
Szerokim echem odbiła się również sprawa dotycząca usługi Hotspot Shield VPN realizowanej przez niemiecką spółkę AnchorFree. W ubiegłym roku organizacja pozarządowa Centrum dla Demokracji i Technologii (Center for Democracy and Technology – CDT) złożyła petycję do amerykańskiej Federalnej Komisji Handlu (Federal Trade Commission – FTC), w której oskarżyło producenta programu o szereg podejrzanych praktyk, w tym m.in. o sprzedawanie danych użytkowników reklamodawcom. Stwierdzono m.in., że usługa zbierała adresy IP użytkowników oraz unikalne identyfikatory urządzeń (Unique Device Identifier – UDI), a także monitorowała zachowania użytkowników podczas korzystania z usługi. CDT podkreślił w skardze, że AnchorFree w swej polityce prywatności nie uważa, iż adres IP użytkownika oraz UDI to dane osobowe.
FTC odmówiła udzielenia informacji, na jakim etapie jest skarga i kiedy wyda orzeczenie w tej sprawie. Od tego czasu właściciel Hotspot Shield uaktualnił też swoją politykę prywatności, zaznaczając, że nie przechowuje adresów IP poza określoną sesją VPN oraz nie udostępnia informacji o użytkownikach reklamodawcom.
Program według różnych źródeł został pobrany ok. 600 mln razy. Wielu użytkowników Hotspot Shield pochodzi z Bliskiego Wschodu, gdzie wolność słowa jest ograniczona, a znaczna część stron internetowych jest zablokowana przez władze, co stawia pod znakiem zapytania ich realne bezpieczeństwo i anonimowość korzystania z sieci.
Rekomendacje
Pomimo tego, że rozszerzenia do przeglądarki mogą w swej istocie stanowić niebezpieczeństwo dla użytkowników, niektóre z nich są przydatne i warto z nich korzystać na co dzień. Nie warto jednak instalować wielu dodatków, gdyż mają one nie tylko wpływ na wydajność komputera, ale mogą stać się również potencjalnym wektorem ataku.
- Privacy Badger od Electronic Frontier Foundation (EFF). Narzędzie chroni przed elementami szpiegującymi znajdującymi się na odwiedzanych stronach internetowych. Dodatek można łatwo skonfigurować. “Borsuk” potrafi również wysyłać żądanie DNT (do-not-track) do elementów śledzących, a jeśli zostanie ono zignorowane, może je samodzielnie zablokować. Dodatek może uzupełniać blokera reklam. Dostępny jest dla przeglądarek Chrome, Firefox i Opera. Działa także na urządzeniach z Androidem.
- Do blokowania reklam na stronach: uBlock Origin. Blokuje reklamy, ale co najważniejsze – dodatek nie jest częścią inicjatywy Acceptable Ads, jak np. AdBlock Plus czy AdBlock, w myśl której autorzy dodatków otrzymują pieniądze za wyświetlanie “mniej inwazyjnych reklam” na swoich stronach. Według danych z 2016 roku przemysł reklamowy poniósł straty z tytułu blokowania reklam w wysokości 41 mld dolarów, dlatego twórcy reklam za wszelką ceną starają się przeciwdziałać temu trendowi. Dostępny jest dla przeglądarek Chrome, Firefox i Opera.
- Wtyczka HTTPS Everywhere (EFF), która wymusza tam, gdzie to możliwe, korzystanie z protokołu HTTPS. Mimo że coraz więcej stron stosuje ten protokół, dodatku nadal warto używać. Dostępny jest dla przeglądarek Chrome, Firefox, Opera. Działa także na urządzeniach z Androidem.
- Wtyczka uMatrix – bardzo złożona, z wieloma opcjami, umożliwia zaawansowanym użytkownikom precyzyjne dostosowanie uprawnień różnych witryn.
Trzymajcie się tych sprawdzonych produktów, a Wasze komputery będą bezpieczniejsze. Uważajcie także na wtyczki już posiadane – jeśli zainstalowane rozszerzenie próbuje uzyskać nowe uprawnienia, istnieje duże prawdopodobieństwo, że coś się dzieje nie tak, jak powinno. Taka wtyczka mogła zostać sprzedana podmiotowi trzeciemu lub – co gorsza – zostać przejęta przez cyberprzestępców, którzy będą z jej użyciem chcieli uzyskać dostęp do Waszego komputera.
Komentarze
Są jakieś sposoby na inwentaryzację wtyczek w firmie, np. SCCM?
https://www.qualys.com/free-tools-trials/browsercheck/business/#browser-plugins
Z tego co widzę „borsuka” nie ma na chrome :)
A gdzie to widzisz?
https://chrome.google.com/webstore/detail/privacy-badger/pkehgijcmpdhfbdbbnkijodmdjhbjlgp
A Ghostery dlaczego nie polecacie? Coś mają za uszami?
Sprzedali się już dawno.
Pochwale się moim zestawem.
canvasblocker,https everywhere,noscript,ublock origin,random agent spoofer(dość rozbudowany),self destructing cookies,videodownloadhelper. Wyłączony webrtc i telemetria, przeglądarka firefox 52 esr.
W przyszłości chyba przeniose się na bazyliszka(przeglądarke).
Random Agent Spoofer na Firefox Quantum juz lub jeszcze nie ma.
Po za tym jeszcze brakuje (ale to zalezy od wersji przegladarki)
Firefox ‘about:config’ –> network.IDN_show_punycode –> true
I sledzenia przekierowan. Tutaj nie znam idealnego rozwiazania.
Jedyne co zrobilem to
about:config –> network.http.redirection-limit –> 1
Dlaczego 1? Bo developerzy osunęli przycisk „Dalej”, a bez tego nie akceptujesz przekierowania. A czasami trzeba z przekierowaniami zyc, bo sa czesto uzywane nawet przez zaufane strony.
Niektorzy jeszcze jave wylaczaja.
O domslnych wtyczkach nie pisalem, bo to oczywiste ze jesli nie uzywasz to wylaczysz.
A co myślicie o First Party Isolation?
Co polecacie do oznaczanie że dana strona jest niebezpieczna (malware/phishing) zamiast WOT?
Jak rozumiem WOT nie jest rekomendowany?
Są listy filtrów do blockerów reklam zbierające takie strony. Nic lepszego do głowy mi nie przychodzi…
może ktoś ma lepszy pomysł?
To musi być coś co aktualizuje się najszybciej jak to możliwe (co 10 minut).
co polecacie na androida bez roota?
roota
nie umiem zrobić roota, kingroot nie działa, wiem że polecasz xprivacy
Jeżeli uważasz, że bezpieczny Android, to zrootowany android, to może przesiądź się na iPhone, jak to zaleca inny „bezpieczny” portal z czarnym tłem.
Ktoś w ogóle z niego korzysta?Już dawno z niego zrobił się katalog reklamowy dla usług i shillownia dla ameryki (a mówi to człowiek który nienawidzi politycznej schizofrenii na wschodzie)
Oprócz dodatków w przeglądarkach wraz z już minioną paczką Humble Bundle kupiłem na Windowsa Adguard premium czyli lokalne proxy filtrujące ruch, również TLS.
„Także autor NoScripta uległ pokusie łatwych pieniędzy – na stronie skryptu można było znaleźć zwodnicze reklamy niepożądanego oprogramowania.”
Jezeli tylko „na stronie” to pół bidy, bo to zdanie nie mowi wprost, że sama wtyczka jest zła.
A co powiecie o blokada.org na androida? Blokuje reklamy i inne śmieci i nie wymaga roota.
jest poza sklepem googla, nie jestem pewny czy można im ufać
na androida i inne domowe urządzenia polecam pihole
Dlaczego go polecasz?
Czemu jest lepszy/gorszy? Jakaś argumentacja?
Na andka polecam adguarda. Bez roota dziala pieknie i na pc tez uzywam.
A co z Disconnect ?
Dzięki za cynk co do Borsuka. Dobre rozszerzenie. HTTPS Everywhere i uBlocka używam już od dawna. Do tego jeszcze plik hosts ze strony Dana Pollocka.
A co powiecie o Bitdefender TrafficLight? Na stronie o antywirusach polecali
Privaty Badger na waszej stronie:
„Privacy Badger wykrył 4 potencjalnych szpiegów na tej stronie. (…)
stats.g.doubleclick.net
staticxx.facebook.com
http://www.facebook.com
http://www.googleadservices.com”
xD Wiem wiem co to za strony, ale i tak bawi :)