- 26,413
- 46
- 8 Ноя 2022
В чужие руки попадает буквально всё, от поисковых запросов до планов на вечер.
Браузерные расширения уже давно превратились из дополнительной функции в повседневный инструмент для большинства пользователей: они блокируют рекламу, хранят пароли, проверяют орфографию или помогают скачивать видео. Но часть таких инструментов зарабатывает не только на функциях, которые видит пользователь. По данным LayerX Security, десятки расширений прямо прописывают в своих правилах право собирать и продавать данные. Проблема лишь в том, что пользователи зачастую об этом даже не подозревают.
Специалисты LayerX Security Дар Каллон и Гай Эрез изучили политики конфиденциальности тысяч расширений из официальных магазинов. Из примерно 9000 ссылок на такие документы команда смогла обработать 6666 политик и вручную проверила найденные совпадения. В итоговую выборку вошли 82 браузерных расширения в 94 карточках магазинов. Сейчас 75 из них всё ещё доступны в Chrome Web Store, ещё 7 удалены, но могут оставаться установленными в браузерах пользователей.
По оценке LayerX, такие расширения затрагивают как минимум 6,5 млн человек. Среди находок оказалась сеть из 24 инструментов для стриминговых сервисов, связанных с брендом QVI, или Quality Viewership Initiative. Расширения работают с Netflix, Hulu, Disney+, Amazon Prime Video, HBO Max, Apple TV+, Crunchyroll и другими платформами. Их издателем указан HideApp LLC, связанный с брендом dogooodapp. Активные расширения этой группы установлены почти у 800 тыс. пользователей.
Политика конфиденциальности QVI описывает сбор истории просмотров, предпочтений, данных о подписках, загруженном контенте и поведении при просмотре. Также сервисы могут получать сведения о возрасте и поле, а при нехватке данных сопоставлять электронную почту с внешними демографическими базами. LayerX считает такую схему системой измерения аудитории, встроенной прямо в браузер.
Отдельное внимание привлекли блокировщики рекламы . Команда подтвердила восемь таких расширений с совокупной аудиторией более 5,5 млн пользователей, которые оставляют за собой право продавать или передавать данные третьим сторонам. Среди них названы Stands AdBlocker, Poper Blocker, All Block, TwiBlocker и Urban AdBlocker. LayerX подчёркивает, что люди часто ставят такие инструменты именно для защиты от слежки, но отдельные продукты сами превращают браузерную активность в товар.
В отчёте также упоминаются расширения меньшего масштаба: Career.io Job Auto Apply может передавать данные из резюме для рекламы и профилирования, Dog Cuties связан с сетью Apex Media, EmailOnDeck допускает продажу или аренду списка рассылки, а Survey Junkie раскрывает передачу посещённых URL и данных о кликах.
LayerX отдельно выделяет корпоративный риск. Среди подтверждённых продавцов данных нашлось 29 B2B-инструментов для продаж и аналитики. Такие расширения могут работать на рабочих компьютерах и передавать в коммерческие базы сведения о внутренних URL, SaaS-панелях и исследовательской активности сотрудников.
Авторы отчёта считают, что проверка разрешений уже не покрывает весь риск. Расширение может не выглядеть вредоносным, но открыто продавать персональные данные по условиям, с которыми пользователь согласился при установке.
LayerX советует компаниям учитывать политики конфиденциальности при контроле расширений и блокировать инструменты, которые не публикуют такие документы или прямо допускают продажу персональных данных.
Браузерные расширения уже давно превратились из дополнительной функции в повседневный инструмент для большинства пользователей: они блокируют рекламу, хранят пароли, проверяют орфографию или помогают скачивать видео. Но часть таких инструментов зарабатывает не только на функциях, которые видит пользователь. По данным LayerX Security, десятки расширений прямо прописывают в своих правилах право собирать и продавать данные. Проблема лишь в том, что пользователи зачастую об этом даже не подозревают.
Специалисты LayerX Security Дар Каллон и Гай Эрез изучили политики конфиденциальности тысяч расширений из официальных магазинов. Из примерно 9000 ссылок на такие документы команда смогла обработать 6666 политик и вручную проверила найденные совпадения. В итоговую выборку вошли 82 браузерных расширения в 94 карточках магазинов. Сейчас 75 из них всё ещё доступны в Chrome Web Store, ещё 7 удалены, но могут оставаться установленными в браузерах пользователей.
По оценке LayerX, такие расширения затрагивают как минимум 6,5 млн человек. Среди находок оказалась сеть из 24 инструментов для стриминговых сервисов, связанных с брендом QVI, или Quality Viewership Initiative. Расширения работают с Netflix, Hulu, Disney+, Amazon Prime Video, HBO Max, Apple TV+, Crunchyroll и другими платформами. Их издателем указан HideApp LLC, связанный с брендом dogooodapp. Активные расширения этой группы установлены почти у 800 тыс. пользователей.
Политика конфиденциальности QVI описывает сбор истории просмотров, предпочтений, данных о подписках, загруженном контенте и поведении при просмотре. Также сервисы могут получать сведения о возрасте и поле, а при нехватке данных сопоставлять электронную почту с внешними демографическими базами. LayerX считает такую схему системой измерения аудитории, встроенной прямо в браузер.
Отдельное внимание привлекли блокировщики рекламы . Команда подтвердила восемь таких расширений с совокупной аудиторией более 5,5 млн пользователей, которые оставляют за собой право продавать или передавать данные третьим сторонам. Среди них названы Stands AdBlocker, Poper Blocker, All Block, TwiBlocker и Urban AdBlocker. LayerX подчёркивает, что люди часто ставят такие инструменты именно для защиты от слежки, но отдельные продукты сами превращают браузерную активность в товар.
В отчёте также упоминаются расширения меньшего масштаба: Career.io Job Auto Apply может передавать данные из резюме для рекламы и профилирования, Dog Cuties связан с сетью Apex Media, EmailOnDeck допускает продажу или аренду списка рассылки, а Survey Junkie раскрывает передачу посещённых URL и данных о кликах.
LayerX отдельно выделяет корпоративный риск. Среди подтверждённых продавцов данных нашлось 29 B2B-инструментов для продаж и аналитики. Такие расширения могут работать на рабочих компьютерах и передавать в коммерческие базы сведения о внутренних URL, SaaS-панелях и исследовательской активности сотрудников.
Авторы отчёта считают, что проверка разрешений уже не покрывает весь риск. Расширение может не выглядеть вредоносным, но открыто продавать персональные данные по условиям, с которыми пользователь согласился при установке.
LayerX советует компаниям учитывать политики конфиденциальности при контроле расширений и блокировать инструменты, которые не публикуют такие документы или прямо допускают продажу персональных данных.
- Источник новости
- www.securitylab.ru
