Versi TL; DR:
- Pengaya peramban untuk Chrome, Firefox, dan mungkin peramban lain melacak setiap laman yang Anda kunjungi dan mengirim data itu kembali ke perusahaan pihak ketiga yang membayar mereka untuk informasi Anda.
- Beberapa pengaya ini juga menyuntikkan iklan ke halaman yang Anda kunjungi, dan Google secara khusus mengizinkan ini untuk beberapa alasan selama "jelas diungkapkan".
- Jutaan orang-orang dilacak dengan cara ini dan mereka tidak memiliki petunjuk.
Apakah kita secara resmi menyebutnya spyware? Yah … itu tidak sesederhana itu. Wikipedia mendefinisikan spyware sebagai "Perangkat lunak yang membantu mengumpulkan informasi tentang seseorang atau organisasi tanpa sepengetahuan mereka dan yang dapat mengirimkan informasi tersebut ke entitas lain tanpa persetujuan konsumen".Itu tidak berarti bahwa semua perangkat lunak yang mengumpulkan data adalah spyware, dan itu tidak berarti bahwa semua perangkat lunak yang mengirim kembali data ke server mereka adalah spyware.
Tapi ketika pengembang ekstensi pergi keluar dari jalan mereka untuk menyembunyikan fakta bahwa setiap halaman yang Anda kunjungi sedang disimpan dan dikirim ke perusahaan yang membayar mereka untuk data itu sementara menguburnya dalam pengaturan sebagai "statistik penggunaan anonim", ada adalah masalah, setidaknya. Setiap pengguna yang beralasan akan berasumsi bahwa jika pengembang ingin melacak statistik penggunaan, mereka hanya akan melacak penggunaan ekstensi itu sendiri - tetapi sebaliknya adalah benar. Sebagian besar ekstensi ini melacak semua yang Anda lakukankecuali menggunakan ekstensi. Mereka hanya melacakkamu.
Ini menjadi lebih bermasalah karena mereka menyebutnya "anonim statistik penggunaan”; kata "anonim" menyiratkan bahwa tidak mungkin untuk mengetahui siapa data itu, seolah-olah mereka menggosok data bersih dari semua informasi Anda. Tetapi mereka tidak. Ya, tentu saja, mereka menggunakan token anonim untuk mewakili Anda daripada nama lengkap atau email Anda, tetapi setiap halaman yang Anda kunjungi terkait dengan token itu. Selama Anda memasang ekstensi itu.
Lacak riwayat penjelajahan siapa saja cukup lama, dan Anda dapat mencari tahu siapa mereka sebenarnya.
Berapa kali Anda membuka halaman profil Facebook Anda sendiri, atau Pinterest, Google+, atau halaman lainnya? Pernahkah Anda memperhatikan bagaimana URL berisi nama Anda atau sesuatu yang mengidentifikasi Anda? Bahkan jika Anda tidak pernah mengunjungi salah satu situs tersebut, mencari tahu siapa Anda adalah mungkin.
Saya tidak tahu tentang Anda, tetapi riwayat penelusuran sayatambang,dan tidak ada yang harus memiliki akses itu kecuali aku. Ada alasan mengapa komputer memiliki kata sandi dan semua orang yang lebih tua dari 5 tahu tentang menghapus riwayat browser mereka. Apa yang Anda kunjungi di internet sangat pribadi, dan tidak ada yang harus memiliki daftar halaman yang saya kunjungi tetapi saya, bahkan jika nama saya tidak secara khusus terkait dengan daftar tersebut.
Saya bukan pengacara, tetapi Kebijakan Program Pengembang Google untuk ekstensi Chrome secara khusus mengatakan bahwa pengembang ekstensi tidak boleh diizinkan untuk mempublikasikan informasi pribadi saya:
We don’t allow unauthorized publishing of people’s private and confidential information, such as credit card numbers, government identification numbers, driver’s and other license numbers, or any other information that is not publicly accessible.
Persis bagaimana riwayat penelusuran saya bukan informasi pribadi? Itu pasti tidak dapat diakses publik!
Ya, Banyak dari Ekstensi Ini Sisipkan Iklan Juga
Setiap kali Anda berurusan dengan iklan, ada juga cookie yang terlibat. (Perlu dicatat bahwa situs ini didukung iklan, dan pengiklan menempatkan cookie di hard drive Anda, sama seperti setiap situs di internet.) Kami tidak menganggap cookie adalah masalah besar, tetapi jika Anda melakukannya, mereka cukup mudah ditangani.
Ekstensi adware sebenarnya kurang masalah, jika Anda dapat mempercayainya, karena apa yang mereka lakukan sangat jelas bagi pengguna ekstensi, yang kemudian dapat memulai kegemparan tentang hal itu dan mencoba dan membuat pengembang berhenti. Kami sangat berharap bahwa Google dan Mozilla akan mengubah kebijakan konyol mereka untuk melarang perilaku itu, tetapi kami tidak dapat membantu mereka mendapatkan akal sehat.
Pelacakan, di sisi lain, dilakukan secara rahasia, atau pada dasarnya rahasia karena mereka mencoba untuk menyembunyikan apa yang mereka lakukan di legalese dalam uraian ekstensi, dan tidak ada yang menggulir ke bagian bawah readme untuk mencari tahu apakah ekstensi itu akan melacak orang.
Mata-mata Ini Tersembunyi di Balik EULA dan Kebijakan Privasi
Ekstensi ini "diizinkan" untuk terlibat dalam perilaku pelacakan ini karena mereka "mengungkapkan" pada halaman deskripsi mereka, atau pada titik tertentu di panel pilihan mereka. Misalnya, ekstensi HoverZoom, yang memiliki satu juta pengguna, mengatakan hal berikut di halaman deskripsi mereka, di bagian paling bawah:
Hover Zoom uses anonymous usage statistics. This can be disabled in the options page without losing any features as well. By leaving this feature enabled, the user authorize the collection, transfer and use of anonymous usage data, including but not limited to transferring to third parties.
Di mana tepatnya dalam deskripsi ini apakah itu menjelaskan bahwa mereka akan melacak setiap halaman yang Anda kunjungi dan mengirim URL kembali ke pihak ketiga, yang membayar mereka untukanda data? Bahkan, mereka mengklaim di mana saja bahwa mereka disponsori melalui tautan afiliasi, benar-benar mengabaikan fakta bahwa mereka memata-matai Anda. Ya, itu benar, mereka juga menyuntikkan iklan ke semua tempat. Tapi mana yang lebih Anda pedulikan, iklan muncul di halaman, atau mereka mengambil seluruh riwayat penelusuran Anda dan mengirimnya kembali ke orang lain?
Perluasan khusus ini memiliki sejarah panjang perilaku buruk, kembali cukup lama. Pengembang baru-baru ini tertangkap mengumpulkan data penelusuran termasuk data formulir … tetapi dia juga tertangkap tahun lalu menjual data tentang apa yang Anda ketikkan ke perusahaan lain. Mereka telah menambahkan kebijakan privasi sekarang yang menjelaskan lebih dalam apa yang sedang terjadi, tetapi jika Anda harus membaca kebijakan privasi untuk mengetahui bahwa Anda sedang dimata-matai, Anda punya masalah lain.
Singkatnya, satu juta orang dimata-matai oleh satu ekstensi ini saja. Dan itu adilsatuekstensi ini - ada lebih banyak lagi yang melakukan hal yang sama.
Ekstensi Dapat Mengubah Tangan atau Memperbarui Tanpa Pengetahuan Anda
Untuk membuat keadaan menjadi lebih buruk, banyak dari ekstensi ini telah berpindah tangan selama setahun terakhir - dan siapa saja yang pernah menulis ekstensi dibanjiri permintaan untuk menjual ekstensi mereka kepada individu yang teduh, yang kemudian akan menginfeksi Anda dengan iklan atau memata-matai Anda. Karena ekstensi tidak memerlukan izin baru, Anda tidak akan pernah memiliki kesempatan untuk mencari tahu mana yang menambahkan pelacakan rahasia tanpa sepengetahuan Anda.
Di masa depan, tentu saja, Anda harus menghindari memasang ekstensi atau addons sepenuhnya, atau menjadisangat hati-hati tentang yang mana yang Anda pasang. Jika mereka meminta izin untuk segala sesuatu di komputer Anda, Anda harus mengklik tombol Batal dan jalankan.
Kode Pelacakan Tersembunyi dengan Pengalih Aktif Jarak Jauh
Kami menguji salah satu ekstensi ini, yang disebut Autocopy Asli, dengan mengelabuiinya agar berpikir bahwa perilaku pelacakan seharusnya diaktifkan, dan kami dapat segera melihat satu ton data yang dikirim kembali ke server mereka. Ada 73 ekstensi ini di Toko Chrome, dan beberapa di toko add-on Firefox. Mereka mudah diidentifikasi karena mereka semua dari "wips.com" atau "mitra wips.com".
Ingin tahu mengapa kami khawatir tentang kode pelacakan yang bahkan belum diaktifkan? Karena halaman deskripsi mereka tidak mengucapkan sepatah kata pun tentang kode pelacakan - itu dimakamkan sebagai kotak centang pada masing-masing ekstensi mereka. Jadi orang memasang ekstensi dengan asumsi mereka berasal dari perusahaan yang berkualitas.
Dan hanya masalah waktu sebelum kode pelacakan diaktifkan.
Investigasi Kekecualian Pengawasan Spionase ini
Rata-rata orang tidak akan pernah tahu bahwa mata-mata ini sedang berlangsung - mereka tidak akan melihat permintaan ke server, mereka bahkan tidak akan tahu bahwa itu sedang terjadi. Sebagian besar dari sejuta pengguna tersebut tidak akan terpengaruh dengan cara apa pun … kecuali bahwa data pribadi mereka dicuri dari bawah mereka. Jadi bagaimana Anda mengetahuinya sendiri? Itu disebut Fiddler.
Fiddler adalah alat web debugging yang bertindak sebagai proxy dan cache semua permintaan sehingga Anda dapat melihat apa yang sedang terjadi. Ini adalah alat yang kami gunakan - jika Anda ingin menduplikasi di rumah, cukup pasang salah satu dari ekstensi mata-mata ini seperti Zoom Hover, dan Anda akan mulai melihat dua permintaan ke situs yang mirip dengan t.searchelper.com dan api28.webovernet.com untuk setiap halaman yang Anda lihat. Jika Anda memeriksa pada tag Pemeriksa, Anda akan melihat sekumpulan teks berenkode base64 … pada kenyataannya, ini telah disandikan base64 dua kali karena beberapa alasan. (Jika Anda ingin teks contoh lengkap sebelum decoding, kami menyimpannya dalam file teks di sini).
s=1809&md=21& pid=mi8PjvHcZYtjxAJ&sess=23112540366128090&sub=chrome &q= https%3A//secure.bankofamerica.com/login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Anda dapat menjatuhkan api28.webovernet.com dan situs lain ke browser Anda untuk melihat di mana mereka mengarah, tetapi kami akan menyelamatkan Anda ketegangan: mereka sebenarnya pengalihan untuk API untuk sebuah perusahaan bernama Web Serupa, yang merupakan salah satu dari banyak perusahaan melakukan pelacakan semacam ini, dan menjual data sehingga perusahaan lain dapat memata-matai apa yang dilakukan pesaing mereka.
Jika Anda adalah tipe petualang, Anda dapat dengan mudah menemukan kode pelacakan yang sama ini dengan membuka laman chrome: // extensions dan mengeklik mode Pengembang, lalu “Periksa tampilan: html / background.html” atau teks serupa yang memberitahu Anda untuk memeriksa ekstensi. Ini akan membiarkan Anda melihat apa ekstensi itu berjalan sepanjang waktu di latar belakang.
Mencegah Perpanjangan dari Memperbarui Secara Otomatis (Lanjutan)
Jika Anda masih ingin melakukannya, buka panel Extensions, temukan ID ekstensi, lalu tuju ke% localappdata% google chrome User Data default Extensions dan temukan folder yang berisi ekstensi Anda. Ubah baris update_url di manifes.json untuk mengganti clients2.google.com dengan localhost.catatan:kami belum dapat menguji ini dengan ekstensi yang sebenarnya, tetapi seharusnya berhasil.
Jadi Di Mana Ini Meninggalkan Kami?
Kami telah menetapkan bahwa banyak ekstensi sedang diperbarui untuk menyertakan kode pelacakan / memata-matai, menyuntikkan iklan, dan siapa yang tahu apa lagi. Mereka dijual kepada perusahaan yang tidak dapat dipercaya, atau para pengembang dibeli dengan janji uang mudah.
Setelah Anda memasang pengaya, tidak ada cara untuk mengetahui bahwa mereka tidak akan termasuk spyware di jalan. Yang kami tahu adalah bahwa ada banyak add-on dan ekstensi yang melakukan hal-hal ini.
Orang-orang telah meminta kami untuk daftar, dan seperti yang telah kami selidiki, kami telah menemukan begitu banyak ekstensi yang melakukan hal-hal ini, kami tidak yakin bahwa kami dapat membuat daftar lengkap dari semuanya. Kami akan menambahkan daftar mereka ke topik forum yang terkait dengan artikel ini, sehingga kami dapat meminta komunitas untuk membantu kami membuat daftar yang lebih besar.
Lihat Daftar Lengkap atau Beri Kami Tanggapan Anda
