Rozszerzenia do przeglądarek i aplikacje, które szpiegują i zapisują historię

10 września, 2018

Około 11 milionów użytkowników mogło zostać „sprofilowanych” po tym, jak kilkanaście aplikacji mobilnych m.in. od firmy Big Star Labs zarejestrowanej w USA w stanie Delaware zbierało historię przeglądania stron internetowych. Oprogramowanie dla systemów mobilnych iOS i Android, a także przeglądarek Chrome i Firefox, które miało blokować strony i dbać o prywatność i anonimowość, okazało się zwykłym szpiegowskim oprogramowaniem. Skala tego procederu jest naprawdę duża.

Zbieranie tak zwanych danych „non-personal” można całkiem realnie przyporządkować prawdziwym użytkownikom. A oto dowód, który przedstawili naukowcy z Uniwersytetu Standforda w USA.

Anonimowość w sieci

W pracy zatytułowanej „De-anonymizing Web Browsing Data with Social Networks” wykazano, że na podstawie korelacji historii przeglądanych stron z różnych źródeł, a także anonimowych informacji z przeglądarek (footprint i user-agent) można ustalić, kim jest szukana osoba. W doświadczeniu wzięło udział 400 ochotników. Skuteczność oszacowania profilu użytkownika na portalu społecznościowym oceniono na 70%, a więc w przybliżeniu tylko co czwartej osoby nie udało się namierzyć.

Wracając do rozszerzeń i szpiegowskich aplikacji — oto te, które zdemaskowano:

System / przeglądarka Ilość instalacji Nazwa aplikacji / rozszerzenia
Chrome Ponad 1 465 000 Block Site – Website Blocker for Chrome
Chrome Ponad 2 322 000 Pop up blocker for Chrome™ – Poper Blocker
Chrome Ponad 434 000 crxMouse Chrome™ Gestures
Firefox Ponad 97 100 BlockSite by blocksite
iOS Ilość instalacji nie jest możliwa do ustalenia, ponieważ aplikacja nie znajduje się w oficjalnym sklepie App Store AdBlockPrime
Android Ponad 5 000 000 Speed BOOSTER – Memory Cleaner & CPU Task Manager
Android Ponad 1 000 000 Battery Saver – Bataria Energy Saver
Android Ponad 100 000 Block Site – Block Distracting Apps & Sites
Android Ponad 500 000 Clean Droid – 1 Tap Clear Cache & Phone Cleaner

Niestety to nie wszystkie programy. Niektóre z nich już usunięto z oficjalnych źródeł dla Androida, Firefoxa i Chrome, ale większość ciągle można zainstalować.

Czytelnikom, którzy nie chcą przekazywać informacji o sobie (z różnych powodów), zalecamy używanie z trybu prywatnego w przeglądarkach, aplikacji VPN i sieci Tor. Korzystanie ze wszystkich technologii razem na pewno nie jest wygodne i nikt tego nie robi na co dzień, ale to jedyna możliwość, aby przestać wysyłać informacje o szukanych frazach, zrobionych zakupach, politycznych zainteresowania i innych. O rezygnacji z portali społecznościowych nawet nie wspominamy.

Anonimowość w Windows 10

„Don’t use Windows 10 – It’s a privacy nightmare”.

Osoby, które nie chcą aż w tak rygorystyczny sposób zajmować się prywatnością, rekomendujemy rozszerzenie uBLock Origin blokujące reklamy i skrypty śledzące, a także narzędzia, które wymienia projekt www.privacytools.io. Jego autorzy zebrali w jednym miejscu oprogramowanie, alternatywne firmware routerów, dodatki do przeglądarek i inne narzędzia, które nie naruszają prywatności użytkowników lub robią to w stopniu niewielkim.

Należą do nich:

  • Polecani dostawcy sieci VPN. My rekomendujemy NordVPN. W najkorzystniejszym planie cenowym NordVPN oferuje ponad 4000 serwerów wyjściowych z 62 krajów na całym świecie. Jest więc w czym wybierać. Osobom, które chciałyby skorzystać z oferty NordVPN polecamy nasz link partnerski, z którego po każdym zakupie otrzymamy procent od zakupu. Aplikacje NordVPN są dostępne na niemal wszystkie systemy operacyjne: Windows, macOS, iOS, Apple i Linux. NordVPN wspiera protokół P2P (nie wszystkie VPN-y to robią) więc bez przeszkód można pobierać legalne torrenty. Oprócz tego NordVPN korzysta z własnego serwera DNS, czyli żaden inny węzeł komunikacyjny DNS nie będzie logował odwiedzanych stron internetowych. I co najważniejsze, firma NordVPN zarejestrowana jest w Panamie i jak twierdzi nie przechowuje ŻADNYCH logów — nie ma takiego obowiązku.
  • Rekomendowane przeglądarki (Mozilla, Brave, Tor Browser) oraz link do internetowego skanera panopticlick.eff.org, który na podstawie ustawień przeglądarki i zainstalowanych pluginów sprawdzi, czy w wystarczającym stopniu dbamy o swoją prywatność,
  • skaner www.privacytools.io/webrtc.html działający w przeglądarce i bazujący na protokole WebRTC – opiera się na JavaScripcie i może ujawnić publiczny i prywatny adres IP użytkownika, nawet wtedy, kiedy ten ukrywa się za VPN-em lub wykorzystuje dodatki do przeglądarki blokujące śledzenie takie jak: AdBlock, Ghostery (NoScript zapobiega ujawnieniu IP),
  • zalecane dodatki do przeglądarek: uBlock Origin, Self-Destructing Cookies, HTTPS Everywhere, Decentraleyes,
  • rekomendowane ukryte ustawienia przeglądarki Mozilla Firefox (about:config),
  • dostawców usług pocztowych, których ochrona prywatności dla swoich klientów jest priorytetem (m.in.: OpenMailBox, ProtonMail, Tutanota),
  • alternatywne oprogramowanie dla e-maili, które pozwala zachować prywatność i bazuje na sieciach P2P oraz zdecentralizowanej komunikacji bez serwera zarządzającego: I2P-Bote, Bitmessage, RetroShare (wspierane są systemu Windows, Mac, Linux, Android),
  • komunikatory internetowe takie jak: Signal, Ricochet, ChatSecure – warto zwrócić uwagę, że na liście nie znajduje się żaden popularny komunikator: Telegram, FB Messenger, WhatsApp, itp,
  • szyfrowane internetowe dyski do przechowywania plików,
  • menadżery haseł: Master Password, KeePass,
  • listę państw, w których użytkownik może być prawnie zobowiązany do przekazania organom ścigania kluczy szyfrujących. Autorzy strony wymieniają Polskę oraz Republikę Czeską jako dwa państwa, w których prawo to nie obowiązuje (na razie – prosimy czytelników o potwierdzenie),
  • oprogramowanie do szyfrowania dysków, e-maili, plików: VeraCrypt, GnuPG, PeaZip,
  • Informacje o F-Droid, alternatywnym dla Google Play sklepie z otwarto-źródłowymi aplikacjami.
  • i wiele, wiele więcej.

Dlaczego należy zainteresować się swoją prywatnością w sieci? Wiele razy powtarzaliśmy, że skorelowane dane, które zostawiacie w Internecie oraz informacje, które przechowuje wasza przeglądarka, mogą przyczynić się do opracowania profilu o sprecyzowanym adresie IP, adresie pocztowym, zainteresowaniach, preferencjach seksualnych, zażywanych środkach wyskokowych, poufnych informacjach o pracy, adresie zamieszkania i innych. Raczej nikt nie ujawnia takich informacji dobrowolnie i nie chce, aby ktokolwiek dowiedział się o nich, dlatego zachęcamy do podjęcia lektury standardów ochrony prywatności w Internecie, dyskusji oraz wdrożenia niezbędnych środków na rzecz poprawy prywatności w sieci.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]