Slušaj vest

Tiho i gotovo neprimetno, stotine dodataka za internet pregledač pretvorile su svakodnevno surfovanje u kanal za masovno prikupljanje podataka. Novo istraživanje bezbednosne organizacije Q Continuum pokazuje da je 287 popularnih Chrome ekstenzija beležilo i delilo istoriju pretraživanja miliona korisnika, u obimu od oko 37 miliona instalacija.

Analiza je obuhvatila 32.000 najpopularnijih aplikacija iz Chrome Web Store-a. Istraživači navode da je broj od 37 miliona konzervativna procena, što znači da bi stvarni domet mogao biti i veći.

Foto: Shutterstock

Alati za zaštitu koji dele podatke

Mnoge sporne ekstenzije predstavljaju se kao blokatori oglasa, alati za prilagođavanje izgleda pregledača ili dodaci za produktivnost. Upravo takvi alati često stiču veliko poverenje korisnika jer obećavaju jednostavnost i kontrolu nad internet iskustvom.

Međutim, istraživanje pokazuje da su pojedine ekstenzije slale podatke o posećenim URL adresama trećim stranama, uključujući kompanije poput Similarweb, AlibabaGroup, ByteDance, Semrush i BigStarLabs.

Foto: Shutterstock

Kako su podaci prikupljani

U pojedinim slučajevima informacije su prenošene u otvorenom tekstu, dok su u drugim situacijama bile kodirane ili šifrovane pre slanja. Neke ekstenzije započinjale su prikupljanje tek nakon što korisnik prihvati politiku privatnosti.

Istraživači su koristili „man-in-the-middle“ proxy za presretanje mrežnog saobraćaja i Docker okruženje za simulaciju realnog pretraživanja. Na taj način analizirano je 32.000 najpopularnijih dodataka i utvrđeno koje informacije napuštaju uređaj korisnika.

Foto: Shutterstock

Poznata imena i milioni instalacija

Među identifikovanim dodacima nalaze se i prepoznatljivi alati poput Stylish, StandsAdBlocker, PoperBlocker, CrxMouse i SimilarWeb - WebsiteTraffic& SEOChecker. Njihova popularnost pokazuje koliko široko rasprostranjene mogu biti ovakve prakse.

Prema nalazima, oko 20 miliona instalacija nije moglo biti jasno povezano sa konkretnim pravnim subjektom. To dodatno komplikuje pitanje odgovornosti i transparentnosti u okviru ekosistema ekstenzija.

Foto: Shutterstock

Rizik koji prevazilazi privatnost

Problem nije samo u količini podataka, već i u njihovoj prirodi. Kompletni URL-ovi, uključujući parametre u upitima, mogu sadržati identifikatore sesija, interne domene ili reference ka osetljivim cloud resursima.

Izveštaj ukazuje i na trend kupovine popularnih ekstenzija od strane trećih kompanija, nakon čega se njihova funkcionalnost i poslovni model menjaju. Stručnjaci upozoravaju da je reč o kontinuiranoj borbi između istraživača i ekosistema ekstenzija, u kojoj postojeće kontrole nisu dovoljne da obezbede potpunu transparentnost i zaštitu korisnika.

Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.

BONUS VIDEO: