Расширения браузеров могут следить за вами, и это не их вина

Блокировщики рекламы, VPN сервисы, менеджеры паролей, и другие расширения, которые вы устанавливаете в браузеры, имеют полный доступ ко всем вашим данным на всех страницах, включая пароли, кредитные карты, и приватные фотографии.

В этой статье я не буду утверждать, что какое-то конкретное расширение собирает такую информацию, но расскажу, почему это возможно и что с этим делать. Скажу лишь что подобных скандалов уже было множество.

Что я вообще несу, с чего я все это взял?

У меня есть расширение для Гугл Хрома, которое сейчас установлено у 14 000 человек. Ко мне раз в месяц приходят предложения монетизировать пользователей.

Монетизация в данном случае — это чересчур мягкая форма слова мошенничество, потому как предполагается показывать пользователям нежелательную рекламу вместо картинок или рекламных блоков, подменять ссылки на интернет-магазины на реферальные, и использовать другие не вполне этичные методы заработка.

Например, установленный бесплатный VPN может отбивать затраты на серверы незаметно заменяя все ссылки на Amazon на аффилированные, все блоки Яндекс.Директа на свои баннеры, или вообще отсылать на свой сервер все что введено в поля с типами email и password, и продавать эту информацию. Никто ведь все равно не читает политики сбора информации, правда? Да и написать там можно все что угодно.

Как так получилось?

Разработчики браузеров — большие молодцы, что позволили появиться целым экосистемам над браузерами. Расширения позволяют добавить функций в браузер, и я рекомендую ими пользоваться. Основная проблема кроется в доступе, который запрашивает расширение при установке.

Здесь и дальше я буду писать и приводить примеры про Гугл Хром как самый популярный браузер, но Файрфокс, Опера и Яндекс Браузер используют тот же стандарт расширений, поэтому проблемы едины.

Проблема слишком широкого доступа

Все, кто ставил хоть одно расширение, видел следующий диалог:

Вы заметили? Расширение только что попросило доступ на чтение и модификацию всех данных на всех страницах, которые я буду посещать. И я разрешил. Господа из мира UX подтвердят, что диалог воспринимается как обычный диалог подтверждения установки "Вы действительно хотите установить расширение?". Даже если внимательно прочитать текст, не до конца понятно, что значит фраза про "чтение и модификацию данных".

А значит это, что расширение фактически получает доступ к исполнению любого кода на любой странице, которую вы посещаете. Причем происходить это все может в фоне, и абсолютно незаметно. Более того, расширение может выполнять HTTP запросы, причем делать это опять же в фоне, т.е. веб инспектор их даже не покажет.

У расширений есть возможность указать на каких сайтах они будут работать, но нет возможности запросить только определенные действия. Например, нельзя запросить:

  • добавление на загруженные сайты своего кода, и ТОЛЬКО ЭТО
  • заполнение форм, и ТОЛЬКО ЭТО
  • удаление кусков кода, и ТОЛЬКО ЭТО

Отсюда вытекает главная проблема: разработчики расширений вынуждены запрашивать полный доступ к данным на всех страницах, чтобы реализовать большую часть функций. Почему в браузерах не реализована более тонкая настройка доступов — загадка.

Проблема дополнительных доступов

Ситуация усугубляется тем, что пользователи охотно разрешают любые доступы при установке расширения, потому что диалог выглядит как диалог подтверждения. Но вот если при обновлении расширения разработчик запросил дополнительные доступы, то расширение уже само не обновится до тех пор, пока пользователь не нажмет на восклицательный знак на панели, и не разрешит дополнительные доступы:

Нередко можно встретить рекомендации для разработчиков расширений запрашивать сразу больше доступов, так сказать, "впрок", вдруг потом в заветной версии 2.0 пригодится. Пусть будет, есть не просит. Отсюда такое количество расширений в маркетплейсе с широчайшим доступом.

Итак, мы разобрались, как работают доступы, и чем страшен "read and change all your data...". Вернемся теперь к монетизации.

На почту разработчикам расширений присылают подобные предложения:

Теперь представьте, что вы "инди" разработчик (ака нищеброд). Пассивно зарабатывать хотя бы $1000 на своем расширении — звучит достаточно заманчиво, не правда ли?

Какие способы монетизации предлагаются:

  • fill empty spaces in the sidebar with banners
  • replace images with banners
  • insert banners at the bottom of the page
  • popup banners
  • insert promotional posts on facebook
  • insert promotional search result in google
  • video preroll
  • replace links to amazon with referral links
  • insert middlepage between click and the actual page load

Вы спросите "но как же это все может быть, в маркетплейсе же есть модерация?!". Есть.

Перед публикацией и при каждом обновлении расширения модераторы проверяют эти самые расширения. У Гугл Хрома, очевидно, это происходит автоматически, потому что проверка проходит буквально несколько минут. Просто технически невозможно на 100% определить, делает ли минимизированный код расширения что-то подозрительное. Кроме того, расширение может дополнительно скачать кусок кода из интернета уже после установки, и исполнить его уже без чьего-либо одобрения. Я уже молчу про нетривиальные кей логгеры и другие методики.

Проблема неочевидного интерфейса

Кроме всего описанного выше, есть ощущение, что Гугл Хром специально скрывает эту проблему. Вот смотрите, Хром недавно обновил свою страницу установленных расширений:

Удачи в определении, какое расширение имеет доступ к сайтам, что я посещаю!

Невозможно просто взять и понять, какие расширения имеют какие доступы. А мы помним, что большинство из них были поставлены в порыве страсти, и мы даже не представляем, что делает половина из них.

Если с первыми двумя проблемами бороться должны разработчики браузеров, то с третьей мы можем справиться и сами. Я выложил в опен сорц простейшее расширение, которое показывает в удобном виде установленные расширения, а также человеческим языком пишет, к чему они имеют доступ:

Зачем нужно еще одно расширение?

Получить доступ к списку установленных расширений в браузере можно только с помощью доступа chrome.management. Он не доступен сайтам, но доступен расширениям. Рекомендую взглянуть критическим взглядом на установленные расширения, подумать так ли они вам нужны, и удалить подозрительные, и те, которым вы не доверили бы свою кредитную карту.

После этого рекомендую удалить и сам Augeas. А также рекомендую внимательнее следить за доступами, которые запрашивают расширения при установке.

0
5 комментариев
teke teke

да вы что - к паролям и кредитным картам? а если я не храню пароли и кредитные карты в браузере?

Ответить
Развернуть ветку
Roman Grossi

Вы заполняете формы на сайтах, эти данные любое расширение может перехватывать.

Ответить
Развернуть ветку
teke teke

это да

но, в режиме инкогнито расширения отключены

и если вдруг оно перехватило номер банковской карты - это лечится легко

Ответить
Развернуть ветку
Roman Grossi

Но речь же шла не только об инкогнито + некоторые пользователи включают в режиме инкогнито некоторые расширения вроде AdBlock.
И если расширение в обычном режиме перехватило данные карты поможет только её перевыпуск.

Ответить
Развернуть ветку
teke teke

а перевыпуск делается за 2 секунды

ну если пользователь вводит карту не в инкогнито - сам виноват

adblock что-то перехватывает? смотрите на траффик. кто-то бы уже давно заметил.

Ответить
Развернуть ветку
2 комментария
Раскрывать всегда