Home https://server7.kproxy.com/servlet/redirect.srv/sruj/smyrwpoii/p2/ Technology https://server7.kproxy.com/servlet/redirect.srv/sruj/smyrwpoii/p2/ My Browser, the spy: How extensions interrupted browsing history by 4M users

My Browser, the spy: How extensions interrupted browsing history by 4M users

  My Browser, the Spy: How Extensions Broke the Browser Story by 4M Users

Aurich Lawson / Getty

When we use browsers to do medical examinations, we share tax returns with accountants or usually use corporate intranet , I usually believe that the pages we have access to will remain private. DataSpii, a newly documented confidentiality issue in which the stories of surfing millions of people are collected and revealed, shows how much we are exposed to when this assumption is turned on his head.

DataSpii begins with browser extensions, which are available mostly for Chrome, but in more limited cases for Firefox, and that there are 4.1

million users on Google's account. These extensions gathered the URLs, web page headers, and in some cases, the built-in hyperlinks on each page the browser visitor visits. Most of these compiled web stories were published by the service called Nacho Analytics, advertised as God's Internet Mode, and using the "View Google Analytics Profile" box.

Web stories may not sound particularly sensitive, but a subset of published links leads to pages that are not password protected, but only through a hard-to-reach sequence of characters (called bookmarks) included in the URL. In this way, published links would allow viewers access to the content of these pages. (Security practitioners have long hindered the publication of sensitive information on pages that are not password protected, but the practice remains widespread.)

According to the researcher he discovered later today, he will document the problem here, this continuously Stream of sensitive data over the last seven months has led to the publication of links to:

  • Domestic and business surveillance videos hosted on Nest and other security services
  • Tax returns, billing invoices, business documents present and hosted presentations or hosted on Microsoft OneDrive, Intuit.com and other online services
  • Recently purchased vehicle IDs, along with buyer names and addresses
  • Patient Name, Physicians Visited, and Others details listed by DrChrono, a patient care platform that concludes with medical services
  • Travels hosted on the Priceline, Booking.com and airline s website
  • Facebook Messenger attachments and Facebook photos even when the pictures are set as private.

In other cases, the published URLs will not open a page unless the person following them has provided an account password or has access to the private network that has hosted the content. But even in these cases the combination of the full URL and the associated page name sometimes reveals sensitive inside information. It is known that DataSpii has affected 50 companies, but this number has been limited by the time and resources needed to find more. Examples include:

  • URLs that link subdomains to teslamotors.com that are not available from the external Internet. When combined with the corresponding page titles, these URLs show staff troubleshooting for "pump malfunctions", "Raven's front steering vibration" and other issues. Sometimes URLs or page titles include vehicle identification numbers of specific cars that have had problems – or they have been discussing Tesla's products or features that have not yet been published. (See the image below)
  • Internal URLs for Amgen, Merck, Pfizer, and Roche Pharmaceutical Companies; healthcare providers AthenaHealth and Epic Systems; and security companies FireEye, Symantec, Palo Alto Networks and Trend Micro. Like the internal Tesla URLs, these links routinely reveal internal development or product details. A page title sealed by an Apple subdomain reads: "Issue updating the [REDACTED] and [REDACTED] fields in response to the History Update and Collection Update from [REDACTED]"
  • URLs for JIRA, a project management service provided by Atlasian, which showed Blue Origin, the aerospace manufacturer Jeff Bezos and the sub-orbital space flight company, is discussing a competitor and the failure of speed sensors, calibration equipment and collectors. Other JIRA customers were exposed to FireEye, BuzzFeed, NBCdigital, AlienVault, CardinalHealth, TMobile, Reddit, and UnderArmour

It is clear that this is not good. But how did this happen?

The Information Spy

The term DataSpii was invented by Sam Jadali, the researcher who he discovered or, more precisely, discovered – the privacy issue of browser expansion. Jadali, intended for the name of DataSpii, to capture the invisible collection of internal corporate data and personal information (PII). (Ars has more technical details on DataSpii here.)

As the founder of the Internet Hosting Service Host Duplex, Jadali first looked at Nacho Analytics at the end of last year after publishing a series of links that listed one of his client domains. Jadali said he was concerned because these URLs led to private conversations in forums – and only the senders and recipients of the links would know about the URLs or would have the necessary credentials to access the discussion. So how did they get to Nacho Analytics?

  Advertising for Nacho Analytics. "Src =" https://cdn.arstechnica.net/wp-content/uploads/2019/07/god-mode-300x358.png "width =" 300 "height =" 358 "srcset =" https: // cdn .arstechnica.net / wp-content / uploads / 2019/07 / god-mode-640x764.png 2x
Enlarge / Advertising for Nacho Analytics.

Jadali suspects that links are harvested by one or more extensions installed in the browsers of people who browse the specialized URLs. He has tested more than 200 different extensions, including one called "Hover Zoom," and found some that have put users into the surfing experience. But none of the extensions send specific links that will later be published by Nacho Analytics.

 Sam Jadali "src =" https://cdn.arstechnica.net/wp-content/uploads/2019/07/sam-jadali-300x214.jpg "width =" 300 "height = "214" srcset = "https://cdn.arstechnica.net/wp-content/uploads/2019/07/sam-jadali-640x457. jpg 2x

Donald Carlton

It is still curious how Nacho Analytics receives these URLs from its client's domain, Jadali tracked three people who have initial access to the published links. It compares the time stamps published by Nacho Analytics with time stamps in their own server logs that tracked the customer's domain. That's when Jadali gets the first indication of being on something; two of his three users told him they had seen the missing pages in the forum with a browser using Hover Zoom.

Web searches like this reported the earlier history of data collection. Suspecting that Hover Zoom is doing the same thing again, Jadali has begun to test the enlargement more rigorously.

He created a new Windows and Chrome installation, then used the Burp Suite security tool and the FoxyProxy Chrome extension to monitor how Hover Zoom was. This time, though he did not find any initial sign of data collection, he remains a patient. Then, he said, after more than three weeks of inactive camp, the expansion uploaded the first batch of visited URLs. Within a few hours, he said, visited links that mention domains controlled by Jadali were published on Nacho Analytics. Soon after, each URL was visited by a third party who has often downloaded the page content.

Jadali finally tested Firefox browser extensions and also set up MacOS-powered testing machines and the Ubuntu operating system. After all, he said, the extensions he found to have collected the browsing history later appearing in Nacho Analytics include:

  • Fairshare Unlock, a Chrome extension for accessing premium content for free. (The Firefox version of the extension available here collects the same browsing data.)
  • SpeakIt!, Chrome Text Extension.
  • Hover Zoom, Chrome extension to increase images.
  • PanelMeasurement, Chrome Extension for Market Research Surveys
  • Super Zoom, another image extension for Chrome and Firefox. Google and Mozilla have removed Super Zoom from their add-on stores in February or March after Jadali reported its data collection behavior. Even after the removal, the expansion continued to collect the surfing behavior on the researcher's lab computers weeks later. Jadali monitors data collection only in an extension version downloaded by the developer. He did not monitor the behavior in the version that was previously available from the Mozilla Add-on Store.
  • Branded studies that offer chances of getting money and other awards in return for completing online surveys. an app that offers award-winning online surveys.

While Jadali can not be sure how Nacho Analytics has received URLs for pages that only people authorized by companies like Apple, Tesla, Blue Origin, or Symantec can access, the most likely explanation is that one or more of them have a browser with affected extension. Jadali has confirmed with four affected companies that employees have actually installed one or more extensions. Palo Alto Networks also confirmed to Ars that the browsers on its network have been using the affected extension. Since then, all five companies have removed the extensions. Google, citing violations of the Terms of Service, has also removed the six extensions it hosts in the Chrome Web Store.

Ars contacted a small sample of affected companies, including Apple, Symantec, FireEye, Palo Alto Networks, Trend Micro, Tesla, and Blue. Symantec, Trend Micro and Palo Alto Networks are the only ones to comment.

Symantec's statement said, "We want to thank the researcher for our warning about this issue and the sharing of his findings." Trend Micro officials said "Trend Micro appreciates the fact that it is aware of it and is fixed the problem ". A Palo Alto Networks representative wrote: "The day we were notified of the problem, Palo Alto Networks wiped out browser extensions and blocked outbound traffic associated with add-on extensions to prevent further potential impact."

DataSpii's research over the past six months has overshadowed Jadali's full-time work and much of his personal life.

Jadali said the new call cost him nearly $ 30,000 for personal expenses because the study is not tied to his responsibilities at Host Duplex. , Jadali estimates that about 60% of the costs were charged by Nacho Analytics. The rest is for travel and for various consultants.

"I became my number one priority," he said. "Almost as if it was not in my control."

Small Text Reading

Principles with Nacho Analytics and browser extensions say that any data collection is strictly "on". They also insist that links are anonymous and deleted from sensitive data before they are posted. However, Ars sees a lot of cases where names, locations, and other sensitive data appear directly in URLs, in page titles, or by clicking links.

Privacy policies for browser extensions give a fair warning that some kind of data collection. For example, the Fairshare unlock policy says the extension "collects your digital behavior data and shares it with third parties to allow for better targeting of surveys and other market research activities." (This and other policies, The information gathered explicitly includes "visited URLs, data from loaded URLs and viewed pages, entered search queries, social connections, account properties, contact details, usage data and other info behavior, software and hardware ". At the same time, the policy promises that Fairshare will take steps to anonymize the data.

"For our initial use of research, PII scrubbers are trying to remove all the information that can identify you before analyzing and archiving," states the rule to unlock Fairshare. "Unique users are randomly assigned to randomly generated identifiers that, when combined with PRI purification, provide anonymity."

Privacy statements for SpeakIt!, PanelMeasurement, Hover Zoom, panel studies and branded studies. above. Savefrom.net's policies also clearly show that they will collect the "URL of the webpage you visited." (Super Zoom rules are no longer available.) Images shown by some extensions are shown below when are installed:

Nacho Analytics, for its part, has to say this in YouTube promotion, which begins with the question, "Is this legal?"

"We collect data from millions of users who have chosen from around the world who agreed to share their browsing data anonymously." Nacho's analysis clears this data so that all personal information is deleted and complies with GDPR . "(This is a reference to the strict government data protection regulation that came into force in the European Union 26 months ago.)

Jadali's research found that Fairshare Unlock, PanelMeasurement, SpeakIt!, Hover Zoom, branded research and panel studies made editing of information for end-user computers before sending it to the developer-defined servers, but he said research on the data packets sent to the servers and links posted to Nacho Analytics showed that not all types of sensitive information were The response seems to only happen when web developers use certain query string parameters in their URLs.

  When a URL has given a last name to the lastname, the extensions replace the name with asterisks. This edit fails when URLs use less standard parameter names, such as "passengerLastname." "Src =" https://cdn.arstechnica.net/wp-content/uploads/2019/07/parameters-640x32.png "width =" 640 "height =" 32 "srcset =" https: //cdn.arstechnica .png / wp-content / uploads / 2019/07 / parameters-1280x64.png 2x
Click to enlarge / This edit failed when URLs used fewer default parameter names like "passengerLastname."

Sam Jadali

As the image above shows, the strings that used "lastname = x" seem to have successfully replaced the names with asterisks. Strings that have used "passengerLastName = y", however, are not removed. No Jadali study shows that Super Zoom or SaveFrom.net Helper made any edits.

Furthermore, some links published by Nacho Analytics contain the personal information of real people. Examples of such personal information include passenger names in links from Southwest.com, places to hire and leave people using the Uber.com website (but not the phone application) to greet and send email addresses from Apple's password reset. While Jadali has edited sensitive information from the following screenshots, none of them have been removed from the links posted by Nacho Analytics.

  • Sam Jadali

  • Sam Jadali

  • Sam Jadali

  • Moreover, even when the URLs published by Nacho Analytics removed names, social security numbers or other sensitive information, , which revealed the same edited information.

    Meet the players of DataSpii


    on the PanelMeasurement as DDMR.com with a mailing address in Walnut, California. The store does not identify the developer of Fairshare Unlock, Hover Zoom, SpeakIt!, Or Super Zoom, but the Fairshare Unlock privacy policy also lists DDMR.com and the same Walnut, California postal address in the Contact Us section. Hover Zoom Study Policies, SpeakIt! И Panel също съдържат език и организация, почти идентични с тези за разширенията за отключване на PanelMeasurement и Fairshare.

    Друга връзка към DDMR: домейни, получили данни за сърфирането от всичките осем разрешени разширения. към същите два IP адреса – и Тази страница от SSL Labs, изследователски проект на фирмата за сигурност Qualys, показва, че е свързан със сертификат за сигурност, принадлежащ на DDMR домейн ddmr.com (зрителите първо трябва да кликнат върху "кликнете тук, за да разширите" за сертификат # 2).

    Този профил в LinkedIn изброява Christian Rodriguez като основател и изпълнителен директор на DDMR. Статия от 2015 г., в която се съобщава за по-ранен кръг от събиране на данни от разширенията на Chrome, идентифицира Родригес като работещ в областта на бизнес развитието на Fairshare Labs. Контактната страница на Fairshare Labs съдържа същия пощенски списък на Walnut, Калифорния.

    Родригес ми каза, че Fairshare Labs е изоставен проект и че Fairshare Unlock вече не се развива активно (въпреки че той продължава да получава актуализации за сигурността и GDPR ). Той посочи най-долната част на тази страница, която според него "предоставя много ясна информация преди инсталирането на потребителите".

    Родригес описва DDMR като "технология за пасивно измерване", която предоставя на компаниите за проучване на пазара "разширения за пасивно измерване на браузъра". те разпространяват на своите изследователи. “ Той продължи да пише по електронна поща:

    Нашите клиенти са отговорни за набирането на крайни потребители в техните панели и насочването им към целевите страници.

    Нашата отговорност е (1) да гарантираме, че предоставяме на крайните потребители с ясно разкриване на това, какви данни се събират и как се използват, и (2) получават подходящо съгласие. След като бъде дадено съгласие, ние събираме поведенческите данни, изтриваме я за чувствителна информация като телефонни номера, номера за социална сигурност, номера на кредитни карти и имейл адреси, и след това я предоставяме на изследователите на пазара, за да ги използват в своите изследвания.

    Нашето внимание е насочено към това, че чувствителната информация изтича, ние незабавно предприемаме действия за подобряване на нашите филтри и премахваме тези данни от нашия набор от данни.

    Отговорното използване на поведенческите данни позволява на изследователите на пазара и компаниите, на които служат, да изградят по-добри продукти и опит за потребителите, но е необходимо да се признае стойността на тези данни в контекста на потенциално чувствителния им характер.

    Той отказа да каже дали Nacho Analytics е клиент, бизнес партньор или имаше някаква друга връзка с DDMR.

    Nacho Analytics

    Междувременно Nacho Analytics обещава да позволи на хората да „видят сметката на някой аналитик“ и да предоставят „Уеб Анализ в реално време за всеки уебсайт“. компанията таксува 49 долара на месец за всеки домейн, за да наблюдава някоя от най-популярните 5 000 уебсайта с най-широко разпространение, въпреки че някои области, включително тези за Google, YouTube, Facebook и други, не са достъпни за наблюдение. За сайтове под този праг на премията струва 49 долара на месец за наблюдение на един домейн, 99 долара на месец за до пет домейна и 149 долара на месец за до 10 домейна.

    След като някой се регистрира, Nacho Analytics използва Google осигурен интерфейс за програмиране за предоставяне на данни в профил в Google Анализ, посочен от потребителя. Ars инсталира няколко разширения, идентифицирани от Jadali, посещава сайтове с дълги псевдослучайни струни в тях и след това наблюдава Nacho Analytics, запълващ тези уникални URL адреси в определената страница на Google Analytics.

    Споменатият по-горе видеоклип, популяризиращ Nacho Analytics в YouTube, казва, че услугата е "100% законна и напълно отговаря на условията на Google". Видеото също твърди, че услугата Nacho Analytics е "съвместима с GDPR."

    В интервю основател и главен изпълнителен директор на Nacho Analytics Mike Roberts потвърди, че услугата е напълно съвместима с GDPR и че милионите хора, чиито данни са събрани, изрично са се съгласили с тази договореност. Кликнете върху бутона за съгласие, каза Робъртс на всички потребители, чиито данни са публикувани. Нещо повече, каза той, "прекарваме доста време в обработката на всеки URL адрес, който виждаме, за да премахнем цялата лична информация." Ars потвърди, че в много случаи URL адресите, публикувани от Nacho Analytics, са имали имена, номера на социалното осигуряване и други лични данни. Въпреки това, Ars успя да намери многобройни примери за имена и други лични данни, останали в публикуваните URL адреси.

    Видео на Nacho Analytics, наречено "Често задавани въпроси: Това е законно?"

    Робъртс каза, че не знае Начо Google Анализ публикува връзки към уеб страници, в които се намират данъчни декларации, Nest Videos, информация за купувачите на коли и голямо количество друга информация, която може да ви идентифицира лично. Nacho Analytics вече изключва домейни за Google, Facebook, YouTube и много други услуги от съображения за лична неприкосновеност, каза той, и може да изключи други.

    "Вашият доклад лично ме тревожи – и [publishing sensitive data] определено не е целта на Nacho Analytics “, каза той. „Ние работим усилено, за да премахнем лична информация от URL адреси и заглавия на страници и да изключим сайтове със сериозни проблеми със сигурността. Когато научим за нов проблем, имаме система, която незабавно да я премахне. Спирахме всички нови регистрации за Начо, докато не получим повече информация по този въпрос. Ако ми дадете списък на сайтовете, които имат тези проблеми, веднага ще деактивираме тези сайтове и ще работим за постоянно решение. "[19659004]Той също така отхвърли идеята че Nacho Analytics някога е бил използван от клиентите за събиране на поверителна информация. Джадали, твърди той, е единственият, който е направил това. (Той също така твърди, че Jadali е нарушил условията на услугата Nacho Analytics при извършване на изследването.)

    "Jadali разглежда стотици уебсайтове, само малка част от които някой легитимен клиент на Nacho Analytics е виждал", каза той. "Всъщност, нито един от сайтовете с проблемите, които ме накараха да узная, не е бил разглеждан от легален клиент на Nacho Analytics."

    Но Робъртс защитава основната практика за публикуване на връзки, които при кликване водят до лични данни – доколкото тези данни не могат да се видят в самия URL адрес, публикуван от Nacho Analytics.

    Той каза така:

    Тези страници са налични. Просто не знаете как да ги откриете. Това е просто нещо, което сега можете да видите, че не бяхте в състояние да видите преди. Но ние не създаваме вратичка. Няма задната врата или нещо подобно. Ние само показваме връзки, за които не сте знаели преди и може би не са били индексирани, но те съществуват …

    Тази връзка от нещо объркано, не ми харесва. Иска ми се, че не съществува, защото определено не искам да позволявам на никого да прави нещо лошо, само добро. Опитвам се да създам добри неща в света. И там има възможност за някои хора да направят някаква вреда.

    Робъртс каза, че не е знаел, че Nacho Analytics публикува връзки и заглавия на страници от непублични, вътрешни мрежи от компании. Но въпреки че той постави под въпрос стойността на тези данни от анализа, той не е задължително да мисли, че публикуването е лошо нещо.

    "Не мисля, че лично виждам в него голяма стойност", каза той. "Но само защото една компания може да иска да я запази частна, не съм сигурна, че там е най-добрата стойност."

    Той каза, че никога не е чувал за някое от разширенията, които Jadali е определило като събиране на данни, които по-късно са приключили. на Nacho Analytics, но той отказа да идентифицира какъвто и да е софтуер, който събира данни за сърфиране в крайния потребител, нито пък би посочил компании, с които Nacho Analytics работи, за да получи тези данни. (В по-късен е-мейл той поясни, че данните "идват от трети страни брокери на данни. Ние със сигурност не сме измислили метода за събиране на данни.")

    "Използване на Nacho да разгледа личната информация или да се опита да проникне в уебсайтове е изрично нарушение на нашите условия за ползване, ”добавя Робъртс. "[Nacho is] маркетингов продукт, който поставя малките предприятия и предприемачите на равни условия с големи корпорации, които имат и ще продължат да имат достъп до този тип данни."

    "Честно казано, мисля, че тук имаш грешен злодей.

    На 8 юли, пет дни след като Google дистанционно деактивира разширенията, за които Jadali съобщи, Roberts каза в Twitter че Nacho Analytics "има прекъсване на данните нагоре по веригата". Ден по-късно Робъртс каза че "партньорът за данни на Nacho Analytics е приключил операции." Малко след това на първа страница на Nacho Analytics се казва, че услугата "спира целия достъп до потенциално чувствителни данни."

     Един от многото URL адреси на Nest.com изтича от DataSpii. Ars има редактирани лица, компютърни и видео екрани и плакати. "Src =" https://cdn.arstechnica.net/wp-content/uploads/2019/07/nest-video-1-640x371.jpg "width =" 640 "height =" 371 "srcset =" https://cdn.arstechnica.net/wp-content/uploads/2019/07/nest-video-1.jpg 2x
    Увеличи / от много Nest.com URL адреси, които изтечеха от DataSpii. Ars има редактирани лица, компютърни и видео екрани и плакати.

  • Source link