Защита личных данных — наша основная задача. Поэтому мне никогда не надоест рассказывать о том, насколько непредсказуемы и изобретательны бывают способы сбора данных пользователей Facebook. Возможно, Cambridge Analytica и прекратила работу, но бизнес, в основе которого лежит кража личных данных, по-прежнему процветает. И эта статья продолжит раскрывать правду о том, как это происходит.
Эта история начинается с недавнего исследования о фальшивых блокировщиках рекламы, которое я провёл в Chrome Web Store. Итогом этой работы стали десятки вопросов о том, безопасно ли то или иное расширение. Всё это заставило меня сесть за изучение наиболее популярных расширений для Chrome, но даже тогда я не мог представить, к чему это меня приведёт. А именно, к открытию масштабной кампании по краже личных данных и истории браузера миллионов пользователей, в которой участвуют популярные Android-приложения и расширения для браузера Chrome.
Я провел автоматическое сканирование всех общедоступных расширений Chrome. Оно выявило несколько проблем, касающихся конфиденциальности, о которых я подробно расскажу в этом материале.
Моё внимание привлекли подозрительные запросы, сделанные в разных доменах Facebook.
Посмотрите на эти недобросовестные расширения, которыми на данный момент пользуются примерно 420.000 пользователей:
Ну, а что же с ними не так? Давайте рассмотрим подробнее.
Если вы залогинены в Facebook, эти шпионские расширения достанут ваши данные одновременно с запуском браузера:
Они даже попытаются проанализировать историю ваших покупок! Одного этого уже было бы достаточно, чтобы удалить их из Chrome Web Store. Но это ещё не всё.
Когда вся информация собрана, она отправляется на домен um-public-panel-prod.s3.amazonaws.com
, который называется Amazon S3, арендованный разработчиками шпионских программ.
На этот сервер были отправлены пугающие объёмы информации, включая все "интересы" в Facebook. Для чистоты эксперимента мне пришлось использовать собственный аккаунт, так что вы можете во всей красе увидеть небольшую часть моих личных данных, которой я не прочь поделиться с вами :)
Как вы можете видеть на скриншоте, злоумышленники не отправляют хешированный идентификатор FB, они отправляют его в исходной форме. Полагаю, что такая практика позволяет авторам говорить об "анонимности" украденных данных.
"Дорогие разработчики шпионских программ! Вы серьёзно думаете, что хеширование числового значения с фиксированной солью невозможно декодировать?"
SHA1("sME9Azj8G28Y" + userId) = e5b1149132aab56eba55168d0b0c7a095ab066f2
Но что хорошего в том, чтобы иметь эти данные без шпионских программ, которые знают, чем именно вы занимаетесь в Интернете? Гораздо лучше, если они будут знать о том, какие именно посты вы читаете и какую рекламу смотрите, не так ли? Не беспокойтесь, это именно то, чем они занимаются: передают информацию обо всех постах (включая спонсорские), о твитах, видеороликах на YouTube, о рекламе, которую вы смотрите или кликаете, а также плохо захешированный ID пользователя и совершенно неприкрытые данные местоположения.
Кто же скрывается за всей этой деятельностью? Единственное, что я нашел о создателях — это ссылка на политику конфиденциальности расширений: http://privacy.unimania.xyz/privacy_policy.pdf
(вот копия, на всякий случай). Как обычно, тут много юридических терминов и запутанной информации о том, что вы даете им согласие без согласия, что они серьёзно заботятся о вашей конфиденциальности, что ваши данные собраны (или сохранены) в анонимной форме, и что по ним ни в коем случае нельзя вас выследить, поскольку они защищены "мощной математической хэш-функцией".
К счастью, там довольно прозрачно говорится о том, какая именно информация о вас собирается:
Какую информацию мы собираем и как мы это делаем. В целом, информация, которую мы собираем, включает нелично-идентифицируемые демографические и психографические данные, а также спонсируемые кампании, рекламные объявления или сообщения, которые нацелены на вас напрямую или которые были показаны вам.
Также, я нашёл их Пользовательское соглашение (копия), из которого я узнал, что называется эта компания "Unimania, Inc." и что они, как они сами утверждают, базируются в Тель-Авиве, Израиль. Однако я не смог найти никакой информации об этой компании в реестре израильских компаний.
История могла бы здесь и закончиться, но в "Политике конфиденциальности" моё внимание привлекла одна фраза:
Справочная информация. Вы были направлены в эту Политику конфиденциальности из отдельного независимого стороннего расширения Google Chrome или мобильного программного обеспечения («Программное обеспечение сторонних разработчиков»).
"Мобильное программное обеспечение"! То есть дело не только в расширениях для Chrome! Я понял, что работу нужно продолжить. Для этой цели у нас уже были собраны некоторые данные, поскольку мы готовили исследование о слежке через мобильные приложения, которое я мог бы использовать.
Так я и нашёл приложение, которое было подключено к серверам Unimania. Это был альтернативный клиент Facebook "Fast - Social App" с количеством скачиваний более чем 10.000.000 (согласно Google Play). Разработчик приложения не скрывает факт причастности к Unimania в своей Политике конфиденциальности:
Сканирование трафика приложения этого разработчика подтверждает, что оно передаёт то же количество информации, что и расширения Chrome, причём на те же серверы Unimania. Также я выяснил, что Fast Lite - Social App + Twitter (1.000.000+ скачиваний) тоже это делает.
Кроме этого, я нашёл ещё несколько приложений, которые упоминают Unimania в своей Политике конфиденциальности. Я не могу утверждать, что они также передают данные пользователей, но предполагаю, что они делали это раньше, иначе зачем им об этом говорить:
Наконец, создаётся впечатление, что Unimania скоро запустит свои собственные продукты:
Очевидно, ни одно из этих приложений не раскрывает подробностей своего поведения в описании и тем более не даёт информации о запросе на использование данных, как того требует Google. Должен признать, что правила для разработчиков Google Play выглядят солидно, но не они являются причиной того, почему конфиденциальность приложений для Android находится в таком плачевном состоянии. Проблема заключается в том, что эти положения попросту не соблюдаются, большинство разработчиков просто игнорируют их.
Итак, поздравляем вас с тем, что вы прочитали такую длинную статью (или же пролистали скучную техническую часть до подведения итогов)!
Вот краткий список того, что мы обнаружили во время исследования:
Я сообщил Goolge обо всех обнаруженных приложениях и расширениях и надеюсь, что они вскоре примут необходимые меры.
Ответ на этот вопрос одновременно очень сложен и очень прост.
Когда вы что-либо устанавливаете, соблюдайте следующие правила:
Также, все домены Unimania были добавлены в фильтр AdGuard Spyware. Это значит, что они будут заблокированы автоматически, если этот фильтр активирован в одном из наших продуктов AdGuard, или если вы используете AdGuard DNS. К сожалению, существует браузерное ограничение, которое запрещает расширению контролировать запросы от других расширений. Так что использования браузерного блокировщика, такого как AdGuard для Chrome или uBlock Origin может быть недостаточно даже в том случае, если у вас включен фильтр AdGuard Spyware.
С другой стороны, вы можете заблокировать эти три домена путём добавления их в файл "hosts":
um-public-panel-prod.s3.amazonaws.com
collection-endpoint-prod.herokuapp.com
collection-endpoint-staging.herokuapp.com
Как известно, AdGuard имеет множество полезных функций в области блокировки рекламы и защиты личных данных.
До сих пор мы ни разу не делали полноценного материала с обзором всех функций, предпочитая посвящать каждому нововведению отдельный пост. Но в этот раз мы решили собрать все особенности приложения AdGuard для Android в одной статье. Прочитав её, вы, возможно, узнаете много нового.
В будущем мы планируем написать подобный материал для каждого продукта.
Мы неоднократно говорили о том, что AdGuard гарантирует защиту личных данных. Сегодня мы расскажем вам еще одну историю, подтверждающую это.