Тысячи расширений браузера ставят под угрозу данные пользователей

Расширения браузера, программные надстройки, которые помогают пользователям настраивать и улучшать свои веб-браузеры, пользуются огромной популярностью. Некоторые из наиболее используемых расширений находят торговые предложения, исправляют грамматику и опечатки, управляют паролями или переводят веб-страницы. Типы доступных расширений практически безграничны, и многие из них стали незаменимыми инструментами для предприятий и обычных пользователей.

Хотя эти расширения могут сделать просмотр веб-страниц более доступным, продуктивным и полезным, они не лишены риска. Новое исследование Georgia Tech показывает, что тысячи расширений браузера представляют значительную угрозу конфиденциальности , а сотни автоматически извлекают личный пользовательский контент из веб-страниц, что влияет на миллионы интернет-пользователей.

Под руководством Фрэнка Ли, доцента Школы кибербезопасности и конфиденциальности и Школы электротехники и вычислительной техники, а также аспиранта Цинге Се группа исследователей разработала новую систему, которая отслеживает, собирают ли расширения браузера пользовательский контент с веб-страниц и каким образом.

Команда, в которую также входят Пол Пирс, доцент Школы кибербезопасности и конфиденциальности и Школы компьютерных наук, и Манодж Вигнеш Каси Мурали, выпускник магистратуры Технологического института Джорджии, представили свою исследовательскую работу на симпозиуме по безопасности Usenix, конференции по кибербезопасности, в августе.

«Из предыдущих исследований мы знаем, что расширения браузера собирают активность и историю браузера пользователей, но некоторые из самых конфиденциальных пользовательских данных находятся на веб-страницах, например, электронные письма, профили в социальных сетях, медицинские записи, банковская информация и многое другое», — сказал Ли. «Мы хотели узнать, собирают ли расширения также персональные данные с этих веб-страниц».

Команда разработала веб-фреймворк Arcanum, чтобы проверить, извлекают ли расширения автоматически пользовательские данные с веб-страниц. Они использовали систему для изучения каждого функционального расширения — более 100 000 — доступного в Chrome Web Store. В частности, они использовали систему для мониторинга того, извлекают ли расширения пользовательские данные с семи популярных веб-сайтов, известных тем, что содержат конфиденциальную информацию: Amazon, Gmail, Instagram, LinkedIn, Outlook и PayPal.

Исследователи заметили, что сбор потенциально конфиденциальных и личных данных расширениями браузера является всеобъемлющим. Они выявили более 3000 расширений браузера , которые автоматически собирают пользовательские данные, затрагивая десятки миллионов пользователей. Более 200 расширений напрямую брали конфиденциальные пользовательские данные с веб-страниц и загружали их на серверы.

Расширения браузера иногда собирают пользовательские данные по законным причинам, например, когда собранные данные связаны с функциональностью или целью расширения. По этой причине может быть сложно определить намерение, стоящее за поведением расширения по сбору данных.

Для дальнейшего исследования исследователи взяли выборку из группы помеченных расширений и сравнили поведение сбора данных каждого расширения с его политикой конфиденциальности и описанием в интернет-магазине, которые должны объяснять, как используется расширение и какую информацию оно будет собирать. Это позволило исследователям выяснить, будут ли пользователи обоснованно ожидать, что расширения будут автоматически собирать их данные в рамках своей функции.

В этой выборке исследователи обнаружили, что ни одна из них чётко не описала автоматизированный сбор данных пользователей в своей политике конфиденциальности или описании интернет-магазина.

«К сожалению, те же возможности, на которые полагаются расширения для обогащения опыта веб-браузинга, могут также быть использованы во вред конфиденциальности пользователя, и потенциально без его ведома или явного согласия», — сказал Се. «Даже в случаях, когда сбор данных является безвредным и необходим для законной функциональности, он создает риски для конфиденциальности. Конфиденциальные данные пользователя могут передаваться и храниться третьей стороной, которая может далее поделиться данными или, возможно, допустить утечку данных во время утечки данных».

По словам исследователей, их выводы свидетельствуют о том, что такие компании, как Google, могли бы разработать более строгие политики конфиденциальности для расширений или более широко применять существующие политики. Крупные компании, чьи конфиденциальные данные пользователей собираются, также могли бы усилить меры по защите своих клиентов.

«Я не считаю, что отдельные пользователи должны нести бремя беспокойства о своей конфиденциальности или защите своих данных, потому что у них может не быть возможности или технических знаний, чтобы понять, что происходит», — сказал Ли. «Цель такого рода работы — донести эти проблемы до организаций или заинтересованных сторон, которые могут влиять на сбор данных, в надежде, что это может направить их к улучшению конфиденциальности пользователей».


Её конек схемы в бизнесе, банковской и финансовой сфере.