Tilføjelser til Chrome skovler dine data ind i al hemmelighed

25. november 2015 kl. 06:2811
Ifølge sikkerhedsfirmaet Detectify er Chromes 'extensions' noget, djævelen har skabt, hvis man bekymrer sig om privacy.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Google sætter ikke sit lys under en skæppe, når de lover, at Chrome er den sikreste og mest private browser på markedet.

Ikke desto mindre tillader Chrome sine tilføjelser at tracke alt, hvad du foretager dig - samt tillader tilføjelserne at køre tilfældig kode. Det skriver sikkerhedsfirmaet Detectify på deres blog.

Lektor ved DTU Compute Christian Damsgaard Jensen er ikke overrasket.

»At det lige er Google Chrome, der tilbyder en mindre grad af privacy, chokerer mig ikke,« siger Christian Damsgaard og hentyder til, at det er velkendt, at Googles produkter ikke koster noget, fordi man som kunde selv er produktet.

Artiklen fortsætter efter annoncen

Browsertilføjelser.

En tilføjelse (extension på engelsk) er et lille program, der kan hentes til de enkelte browsers, og som på en eller anden måde giver en anderledes brugeroplevelse.

En af de mest kendte extensions til Chrome er AdBlock.

Andre populære extensions til Chrome tæller Currency Converter , LastPass og Mailvelope.


Ikke desto mindre er det første gang, at det er belyst, hvilke rå datamængder en ellers uskyldig tilføjelse til en browser kan sende ud. Og at man, selvom man browser i anonyme faner, har installeret anonymitets-apps og så fremdeles, stadig forfølges. Ikke kun af reklamer eller søgemaskiner, men også af tilføjelser, man selv har installeret.

It-konsulent og privacyekspert, civilingeniør Stephan Engberg er heller ikke overrasket over Googles ageren i forhold til privatlivets fred.

»Googles nuværende forretningsmodel fungerer ikke med privacy, og derfor er det ikke rigtigt, når Google siger, at de bekymrer sig meget om privacy. De skaber en illusion af, at privacy drejer sig om, hvad andre end Google kan - ikke hvad Google selv kan og gør,« siger Stephan Engberg.

Chrome rapporterer til Google

Detectifys blog er skrevet med udgangspunkt i en enkelt, ukendt tilføjelse, men Detectify skriver, at eksemplerne er generelle.

»I det hele taget vil jeg aldrig anbefale Chrome, der rapporterer til Googles servere eller på anden vis styrker Googles profilering. Det er den profilering, Google lever af, når de sælger forbrugerne,« siger Stephan Engberg, der til gengæld mener, at Firefox privacy-mæssigt har bevæget sig i den rigtige retning.

Stephan Engberg anbefaler desuden, at man bruger proxy-mekanismer eller andet for at sikre, at Google ikke kan genkende en, når man søger.

Al information sendes videre

»Googles nuværende forretningsmodel fungerer ikke med privacy, og derfor er det ikke rigtigt, når Google siger, at de bekymrer sig meget om privacy. De skaber en illusion af, at privacy drejer sig om hvad andre end Google kan - ikke hvad Google selv kan og gør,« siger Stephan Engberg.

Han mener desuden, at det meget vel kan være, at Google tillader tilføjelserne at tracke, fordi Google selv får del i informationerne, tilføjelserne sender af sted.

Ifølge Detectify sender de omtalte tracking scripts alt videre til tredjeparter. I det tilfælde, Detectify tager udgangspunkt i, anslås det, at indehaveren af tilføjelsen får 0,04 dollars per cookie tracker installeret. Om måneden. Det løber hurtigt op, hvis tilføjelsen er populær, og tredjepartsfirmaet betaler ikke for at støtte upcoming tilføjelser. Der er penge i informationerne.

På dette billede er en række eksempler på de informationer, tilføjelserne sender videre til tredjeparter.

Virker på alle sider

Når en tilføjelse installeres, giver man den tilladelse til at virke på et vist antal sider, men i stadigt flere tilfælde ønsker tilføjelserne at tilgå alle sider. I så fald vil der i kildekoden stå '< all_urls >'.

Derudover benytter tilføjelserne tracking scripts, der bruger forskellige subdomæner, så det er sværere for andre tilføjelser at se, hvilke tracking scripts de bruger - og det gør det dermed sværere for tilføjelser som Ghostery at forhindre, at tilføjelserne stalker dig.

Tilføjelserne skjuler sig ikke blot for andre tilføjelser som Ghostery, men søger også aktivt efter, hvilke tilføjelser der kører i browseren samtidig - så de nysgerrige tilføjelsers chancer for at undslippe dem forhøjes.

Kan køre tilfældig kode

Efter installationen kører tilføjelserne kode, der opdaterer tilføjelsens rettigheder til hele tiden at kunne hente og installere opdateringer - som i nogle tilfælde er leveret af en tredjepart, og som ikke oprindeligt var en del af den tilføjelse, man hentede i sin tid. Vel at mærke uden at brugeres notificeres.

I det tilfælde, Detectify tager udgangspunkt i, har disse automatiske opdateringer intet med selve tilføjelsens funktion at gøre.

Det lader til, at tilføjelserne først henter disse ting ned efter installationen for at komme uden om de filtre, der er lagt ind i Google Store, der skal forhindre tilføjelser i netop at tracke brugerne og i at køre mistænksom kode helt automatisk.

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
28. november 2015 kl. 19:53

Jeg havde i de gode gamle Windows 98SE dage et program jeg havde fået skaffet. Jeg gad SÅ godt have et ligendede program i dag. Kort og godt gjorde den lidt hvad noscript/adblock plus gør i dag. Det var dog bare et selvstændigt program med et ikon som hovedet af en ko. Den slugte så alle reklamerne. Det var et program der var uden nogen opsætning af noget men blot kørte og kvalte alle reklamer og popups - man kunne tilføje nye også. Den var browser uafhængig og f.eks selv de reklamer som MSN messenger havde fik den fjernet. Virkeligt effektivt men jeg aner desværre ikke hvordan det virkede. Mit umiddelbare bud var noget lokal proxy men den ændrede ikke noget i nogen opsætning.

9
26. november 2015 kl. 09:48

Version2 går på ingen måde på den sti de selv prædiker.

V2 er kun sat i verden for at tjene penge og intet andet - det inkluderer også at tracke brugerne samt forklarer hvorfor V2 konsekvent nægter at investere en time i at implementere noget så sikkerhedsmæssigt basalt for brugerne som TLS (HTTPS). Det burde være et krav at bruge TLS for login-tjenester for at kunne modtage den store årlige mediestøtte fra os alle sammen.

8
26. november 2015 kl. 09:41

Mon ikke det er TOR eller VPN der menes. TOR-browseren (ud over netværket) er særlig god til at forhindre tracking.

6
25. november 2015 kl. 17:25

Er der nogen der kan belyse hvorvidt "Firefox har bevæget sig i den rigtige retning", og hvordan? En kort Googling af rettigheder til extensions fortæller mig, at Firefox eventuelt har samme problem som Chrome, ift. de rettigheder en extension har.

Jeg bruger ikke særligt mange extensions, og dem jeg bruger har jeg nogenlunde tillid til - men det ville være rart ikke at behøve at tænke på netop disse ting.

5
25. november 2015 kl. 17:25

Du har ret Bjarne - det er snævert set off topic - men er alligevel en del af det samlede billede, hvor det bliver tiltagende umuligt at beskytte en eller anden privatsfære.

En rent følelsesmæssig reaktion fra min side, fordi jeg ikke har forudsætninger for at forholde mig til artiklen ovenfor ud over at blive meget træt.

For mig hænger tingene sammen - der er simpelthen ikke mere nogen respekt for en privatsfære - som du selv nævner, så er det nok helt andre formål, der driver ønsket om de store sundhedsdatabaser, og det er for mig at se det fælles i problemstillingen - at økonomiske interesser får lov at overtrumfe det, som man for 30 år siden anså for ukrænkeligt.

Men du har ret - det er jo ikke noget bidrag til konkret handling i forhold til Chrome at konstatere det. Måske fordi jeg begynder at synes, at det er en umulig kamp, hvis ikke man kan få fat om det, for mig at se, underliggende problem med, at der fra politisk hold vel dybest set er en accept af, at privatliv er "fair game" for økonomisk udnyttelse. Intet ønske om at beskytte det - tvært imod. Og det synes jeg, at artiklen i JP viser i meget koncentreret form.

Bare se - 6 ud af 10 artikler på Version2's "Seneste nyt" lige nu drejer sig om forskellige versioner for privatlivskrænkelser via data - så vi har ikke en chance for at følge med med vore egne tiltag f.eks. mod Chrome, så længe der fra politisk hold ses igennem fingre. Vi vil hele tiden være bagud. Suk.

Men det er jo ikke ny viden herinde, så jeg skal prøve a styre mig.

4
25. november 2015 kl. 16:56

Hvad mener I om, hvordan man kan sikre data (og undgå de værste fejl) i dette mareridtscenarie?

At det er off-topic i forhold til artiklen... :-).

Jeg har prøvet at finde en form for fællesnævner, men udover at det er utrygt, så er der trods alt den helt grundlæggende forskel, at der i artiklens tilfælde er tale om ublu udnyttelse uden på nogen måde at give noget igen, medens personlig medicin ideen i det mindste argumenterer med at kunne give noget tilbage (om vi deler troen på fidusen, er så en anden snak - det virker for mig mest som om, at det er helt andre formål, som er drivende).

Derfor kan jeg heller ikke lige se, hvordan vi skulle kunne føre en fælles debat om emnerne udover på "det er for dårligt"-niveau. Extensions som stjæler alt om dig, er IMHO på linje med trojanske keyloggers, og derfor kunne et sted at starte den diskussion være, at rette blikket imod dem, som stiller en så usikker platform til rådighed for os og true med at gå vores vej.

...og det giver så ingen mening ifm. personlig medicin ideen.

2
25. november 2015 kl. 15:37

I artiklen foreslås det, at brugere bør benytte proxy-mekanismer eller andet. Det kunne måske interessere brugerne, hvad de konkret kan gøre. Det kan vist ikke betegnes som specielt nemt, at installere og konfigurere software, der på computer eller server blokerer udgående tracking-trafik fra udvidelser til browsere. Dertil kommer, at mere og mere af dette foregår krypteret, hvilket vanskeliggør, at filtrere det bort i en gateway med proxy og firewall.

1
25. november 2015 kl. 11:19

Det er jo lidt beskæmmende at Version 2 selv har mindst 8 trackere kørende på deres web-site. I flæng kan nævnes: Adform, ChartBeat, cXence, Emediate, Gemius, Google, New Relic samt TNS… Så måske man skulle se lidt indad og få stoppet nogle af alle de data som går til tredjeparter. Det kaldes også at feje for egen dør…