Máte rádi své soukromí? I společnost SimilarWeb ho má určitě ráda. V dnešním blogu se Vás pokusíme varovat před rozšířením populárního prohlížeče Chrome které Vás mimo jiné špehuje.
Určitě jste již několik krát potřebovali vyfotit obrazovku svého počítače a poslat ji Vašemu blízkému kolegovi známému, atd. Tvorbu screenshotů Vám usnadňují různé tzv. "Snipping tools" představující softwarové nástroje, které dokáží snímků nejen vyfotit ale i oříznout a následně ho uložit ve Vašem oblíbeném grafickém formátu. Tyto soubory pak můžete později nahrát na obrázkový hosting nebo cloudovou službu případně poslat mailem.
Člověk je tvor líný a ocení nástroj, který zvládne všechny zmíněné akce v jednom. Jedním z nich je poměrně oblíbené rozšíření Awesome screenshots. Jeho oblíbenosti nasvědčuje statistika s více než 1 303 000 stažení uživateli. Odvrácenou stránkou tohoto softwaru je, že Vás špehuje. Awesome screenshot zaznamenává každou navštívenou adresu a spolu s metadaty ji odesílá na servery společnosti SimilarWeb. Tyto informace jsou stávají zajímavým materiálem a potenciálním předmětem dalšího prodeje pro společnosti třetích stran.
Awesome screenshot je tedy klasickou ukázkou spyware. Spyware je definován jako počítačový program, případně jeho rozšíření, které bez vědomí uživatele pokouší "vyšpehovat" citlivá data z počítače. Tato data následně vynáší třetí straně znovu bez vědomí uživatele.
Následující obrázky znázorňují odchozí požadavky POST na servery s821.crdui.com a 821.crdui.com.
Doména crdui.com je registrovaná přes godaddy.com po zadání linky do prohlížeče následuje přesměrování na http://t2.webovernet.com/service2. Webovernet.com vlastní firma SimilarWeb, která s Vašimi údaji zachází podle vlastního uvážení.
V odesílaných požadavcích je největším parametrem parametr e. Po dvojitém dekódování pomocí base64 jsme získali následující údaje:
s=1821&md=21&pid=njgPlkgPyO&sess=186081867199391140&sub=chrome&q=https://www.citadelo.sk/&tmv=4002.1&tmf=1&r=http://citadelo.sk/
Ty jsme podrobili analýze a pokusili se odhadnout jejich význam:
| Parameter | Hodnota | Význam |
| s | 1821,821 | identifikátor servera |
| md | 21 | konstanta |
| pid | njg7v2uxPlgtPyO | identifikátor uživatele |
| sess | 186081867199391140 | číslo relacie |
| sub | chrome | použitý prohlížeč |
| q | https://www.citadelo.sk/ | URL (adresa navštívené stránky) |
| tmv | 4002.1 | konstanta |
| tmf | 1 | pokud je nastaven referer tak 1 jinak 0 |
| r | http://citadelo.com/ | http referer (adresa předchozí webové stránky, ze které byl požadavek na navštívenou stránku generována) |
Během zkoumání zdrojového kódu rozšíření jsme narazili na části, které se starají o funkcionalitu spyware-u. Z úryvku zdrojového kódu uvedeného níže je zřejmé, že naše odhady byly správné. Pokud byste si to chtěli vyzkoušet a nahlédnout do samotného zdrojového kódu rozšíření, stačí si v nastaveních rozšíření povolit Developer mode. Soubor, který byste určitě neměli přehlédnout je tr.js.
var data = "s=" + SIM_Config_BG.getSourceId() + "&md=21&pid=" + utils.db.get("userid") + "&sess=" + SIM_Session.getSessionId() + "&q=" + encodeURIComponent(tab_url) + "&prev=" + encodeURIComponent(res_prev_url) + "&link=" + (ref ? "1" : "0")<br /> + "&sub=chrome&hreferer=" + encodeURIComponent(ref);<br /> data = data + "&tmv=" + SIM_ModuleConstants._TMV;<br /> data = SIM_Base64.encode(SIM_Base64.encode(data));<br /> data = "e=" + data;<br /> var url = utils.db_tmv.get("server") + "/related";<br /> utils.net.post(url, "json", data, function(result) {<br /> log.INFO("Succeeded in posting data");<br /> tabs_prevs[tabId] = tab_url<br /> }, function(httpCode) {<br /> log.INFO("Failed to retrieve content. (HTTP Code:" + httpCode.status + ")");<br /> log.ERROR("ERROR 8004 ??");<br /> tabs_prevs[tabId] = tab_url<br /> })
.
V tom lepším případě vám "hrozí" jen reklama šitá na míru. Nicméně případné dlouhodobé sledování uživatele umožní společnostem vyprofilovat jeho chování ba dokonce ke shromážděným datům přiřadit jeho reálnou identitu. Program Google Developer přitom v sekci věnované rozšířením jasně tvrdí, že "Nepovolujeme neautorizované publikování soukromí a důvěrných informací jako jsou například čísla kreditních karet čísla občanských průkazů, řidičských průkazů ani jiné informace které nejsou veřejnosti jinak dostupné." V dalším ze scénářů může dojít ke krádeži identity. Některé aplikace přenášejí identifikátor relace (session id) přímo v URL. Takové chování odporuje dobrým bezpečnostním praktikám a dá se předpokládat, že bezpečnost takové aplikace nebude dobrá ani v jiných ohledech. Faktem ale zůstává, že při takové aplikaci z Vašeho systému uniká vše potřebné pro to, aby lidé ze SimilarWeb ukradli vaši identitu.
Pokud máte Awesome Screenshot nainstalovaný doporučujeme ho okamžitě odinstalovat.
