Google sætter ikke sit lys under en skæppe, når de lover, at Chrome er den sikreste og mest private browser på markedet.
Ikke desto mindre tillader Chrome sine tilføjelser at tracke alt, hvad du foretager dig - samt tillader tilføjelserne at køre tilfældig kode. Det skriver sikkerhedsfirmaet Detectify på deres blog.
Lektor ved DTU Compute Christian Damsgaard Jensen er ikke overrasket.
»At det lige er Google Chrome, der tilbyder en mindre grad af privacy, chokerer mig ikke,« siger Christian Damsgaard og hentyder til, at det er velkendt, at Googles produkter ikke koster noget, fordi man som kunde selv er produktet.
Browsertilføjelser. En tilføjelse (extension på engelsk) er et lille program, der kan hentes til de enkelte browsers, og som på en eller anden måde giver en anderledes brugeroplevelse. En af de mest kendte extensions til Chrome er AdBlock. Andre populære extensions til Chrome tæller Currency Converter , LastPass og Mailvelope.
Ikke desto mindre er det første gang, at det er belyst, hvilke rå datamængder en ellers uskyldig tilføjelse til en browser kan sende ud. Og at man, selvom man browser i anonyme faner, har installeret anonymitets-apps og så fremdeles, stadig forfølges. Ikke kun af reklamer eller søgemaskiner, men også af tilføjelser, man selv har installeret.
It-konsulent og privacyekspert, civilingeniør Stephan Engberg er heller ikke overrasket over Googles ageren i forhold til privatlivets fred.
»Googles nuværende forretningsmodel fungerer ikke med privacy, og derfor er det ikke rigtigt, når Google siger, at de bekymrer sig meget om privacy. De skaber en illusion af, at privacy drejer sig om, hvad andre end Google kan - ikke hvad Google selv kan og gør,« siger Stephan Engberg.
Chrome rapporterer til Google
Detectifys blog er skrevet med udgangspunkt i en enkelt, ukendt tilføjelse, men Detectify skriver, at eksemplerne er generelle.
»I det hele taget vil jeg aldrig anbefale Chrome, der rapporterer til Googles servere eller på anden vis styrker Googles profilering. Det er den profilering, Google lever af, når de sælger forbrugerne,« siger Stephan Engberg, der til gengæld mener, at Firefox privacy-mæssigt har bevæget sig i den rigtige retning.
Stephan Engberg anbefaler desuden, at man bruger proxy-mekanismer eller andet for at sikre, at Google ikke kan genkende en, når man søger.
Al information sendes videre
»Googles nuværende forretningsmodel fungerer ikke med privacy, og derfor er det ikke rigtigt, når Google siger, at de bekymrer sig meget om privacy. De skaber en illusion af, at privacy drejer sig om hvad andre end Google kan - ikke hvad Google selv kan og gør,« siger Stephan Engberg.
Han mener desuden, at det meget vel kan være, at Google tillader tilføjelserne at tracke, fordi Google selv får del i informationerne, tilføjelserne sender af sted.
Ifølge Detectify sender de omtalte tracking scripts alt videre til tredjeparter. I det tilfælde, Detectify tager udgangspunkt i, anslås det, at indehaveren af tilføjelsen får 0,04 dollars per cookie tracker installeret. Om måneden. Det løber hurtigt op, hvis tilføjelsen er populær, og tredjepartsfirmaet betaler ikke for at støtte upcoming tilføjelser. Der er penge i informationerne.
På dette billede er en række eksempler på de informationer, tilføjelserne sender videre til tredjeparter.
Virker på alle sider
Når en tilføjelse installeres, giver man den tilladelse til at virke på et vist antal sider, men i stadigt flere tilfælde ønsker tilføjelserne at tilgå alle sider. I så fald vil der i kildekoden stå '< all_urls >'.
Derudover benytter tilføjelserne tracking scripts, der bruger forskellige subdomæner, så det er sværere for andre tilføjelser at se, hvilke tracking scripts de bruger - og det gør det dermed sværere for tilføjelser som Ghostery at forhindre, at tilføjelserne stalker dig.
Tilføjelserne skjuler sig ikke blot for andre tilføjelser som Ghostery, men søger også aktivt efter, hvilke tilføjelser der kører i browseren samtidig - så de nysgerrige tilføjelsers chancer for at undslippe dem forhøjes.
Kan køre tilfældig kode
Efter installationen kører tilføjelserne kode, der opdaterer tilføjelsens rettigheder til hele tiden at kunne hente og installere opdateringer - som i nogle tilfælde er leveret af en tredjepart, og som ikke oprindeligt var en del af den tilføjelse, man hentede i sin tid. Vel at mærke uden at brugeres notificeres.
I det tilfælde, Detectify tager udgangspunkt i, har disse automatiske opdateringer intet med selve tilføjelsens funktion at gøre.
Det lader til, at tilføjelserne først henter disse ting ned efter installationen for at komme uden om de filtre, der er lagt ind i Google Store, der skal forhindre tilføjelser i netop at tracke brugerne og i at køre mistænksom kode helt automatisk.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.