LINUX.ORG.RU

Обнаружена скрытая загрузка проприетарного блоба браузером Chromium

 ,


8

5

Один из пользователей Debian установил Chromium 43 и обнаружил, что при первом запуске браузер, не уведомляя пользователя, молча загружает и устанавливает расширение «Chrome Hotword Shared Module». Указанное расширение содержит внутри себя блоб (бинарный компонент), исходники которого не предоставляются. При этом, расширение даже не отображается в списке установленных расширений и не предоставляет возможности себя отключить.

Блоб называется «hotword-x86-64.nexe»:

$ chromium --temp-profile &
$ find /tmp/tmp.*/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword.data
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe
$ file /tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=24d25d55886dca48921031d6928b0a34f5659830, stripped

Этот компонент реализует систему голосового управления «OK, Google» и осуществляет постоянный захват звука с микрофона, ожидая произнесения ключевого слова.

Такое поведение браузера обеспокоило разработчиков Debian, поскольку скрытая загрузка проприетарного компонента грубо нарушает политику Debian, и пока остаётся неясным, как это упустил мейнтейнер соответствующего пакета. Вдобавок постоянный перехват микрофона сторонним закрытым приложением вызывает понятного рода опасения.

Проблеме подвержены пакеты с Chromium 43 во всех дистрибутивах Linux. В Debian соответствующий пакет уже обновлён и загрузка модуля отключена. Для отключения дополнения рекомендуется удалить директорию

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

По словам разработчиков Chromium, указанное дополнение загружается лишь после включения пользователем голосового поиска в настройках браузера, а его отсутствие в списке установленных дополнений объясняется тем, что оно является «внутренним». Исходный код же не предоставляется, поскольку для распознавания речи применены алгоритмы, защищённые патентами. В знак доброй воли разработчики уже добавили флаг, указание которого при сборке отключает загрузку этого дополнения.

Впрочем, существуют свидетельства того, что проприетарное дополнение автоматически устанавливается даже при отключённом голосовом поиске.

>>> Подробности

anonymous

Проверено: fallout4all ()
Последнее исправление: mono (всего исправлений: 2)
Ответ на: комментарий от Jayrome

судя по тому, что куче компаний было сказано отказываться от гугл почты вначале этого года чтобы сохранить возможность работы с гос структурами, и запрет на все браузеры кроме ie или какой то форк мазиллы забыл, идёт в стандарте дебиана, то о чём то говорит.

erzent ☆☆
()

шкандаль!

anonymous
()
Ответ на: комментарий от anonymous

99% юзерам наплевать что их прослушивают и контролируют ( учитывая что их поведение банально и совершнно никому не нужно ).

Jopich
()

зонд во всей своей красе :)

anonymous
()
Ответ на: комментарий от goingUp

Я бы сказал иначе - долго не находили. Хотя и спо во все поля.

dk-
()
Ответ на: комментарий от erzent

Ты опять свои фантазии за реальность принимаешь?

dk-
()

Вот блин, не ожидал от них такого: с Google Chrome уже давно всё было понятно, но с Chromium — прямо удивление. Впрочем, из-за большей гибкости и расширений уже давно была затея переползти на firefox.

совсем охренели

kalterfive ★★
()

А у меня как хромиум обновился до 43 - так и перестал запускаться:

[7075:7075:0619/005115:FATAL:zygote_host_impl_linux.cc(182)] Check failed: process.IsValid(). Failed to launch zygote process
[1]    7075 abort (core dumped)  chromium-browser

GDB:

 $ chromium-browser -g
# Env:
#     LD_LIBRARY_PATH=/usr/lib/chromium-browser:/usr/lib/chromium-browser/libs
#                PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
#            GTK_PATH=
# CHROMIUM_USER_FLAGS=
#      CHROMIUM_FLAGS=  --enable-pinch
/usr/bin/gdb /usr/lib/chromium-browser/chromium-browser -x /tmp/chromiumargs.Rm1IGt
GNU gdb (Ubuntu 7.7.1-0ubuntu5~14.04.2) 7.7.1
Copyright (C) 2014 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
and "show warranty" for details.
This GDB was configured as "x86_64-linux-gnu".
Type "show configuration" for configuration details.
For bug reporting instructions, please see:
<http://www.gnu.org/software/gdb/bugs/>.
Find the GDB manual and other documentation resources online at:
<http://www.gnu.org/software/gdb/documentation/>.
For help, type "help".
Type "apropos word" to search for commands related to "word"...
Reading symbols from /usr/lib/chromium-browser/chromium-browser...(no debugging symbols found)...done.
(gdb) run
Starting program: /usr/lib/chromium-browser/chromium-browser --enable-pinch 
[Thread debugging using libthread_db enabled]
Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1".
Traceback (most recent call last):
  File "/usr/share/gdb/auto-load/usr/lib/x86_64-linux-gnu/libstdc++.so.6.0.19-gdb.py", line 63, in <module>
    from libstdcxx.v6.printers import register_libstdcxx_printers
ImportError: No module named 'libstdcxx'
[New Thread 0x7f12fcd60700 (LWP 7237)]
[7230:7230:0619/005210:FATAL:zygote_host_impl_linux.cc(182)] Check failed: process.IsValid(). Failed to launch zygote process

Program received signal SIGABRT, Aborted.
0x00007f13056aacc9 in __GI_raise (sig=sig@entry=6) at ../nptl/sysdeps/unix/sysv/linux/raise.c:56
56	../nptl/sysdeps/unix/sysv/linux/raise.c: Нет такого файла или каталога.
(gdb)

Вероятнее всего из-за политик apparmor. Но не уверен и разбираться нет желания, ибо на ff.

soko1 ★★★★★
()
Ответ на: комментарий от vertexua

Сотрудникам этот блоб не полагается, значит :)

Harald ★★★★★
()

Слава Богу, у меня Chrome.

Jayrome ★★★★★
()
Ответ на: комментарий от anonymous

ты был неискренен и пытался обмануть гугл, это несомненно будет занесено в твой профиль :)

Harald ★★★★★
()
Ответ на: комментарий от anonymous

Ну, opensource, как никак. За такими выходками, конечно, следят, и это хорошо. Но доверие всё равно пропорционально пропадает.

kalterfive ★★
()
Ответ на: комментарий от kalterfive

чтобы оно пропало должны были быть какие-то предпосылки чтобы оно возникло изначально. интересно, какие?

anonymous
()
 maksim@shaggyfoot:/$ cd /tmp/tmp.*/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/
bash: cd: /tmp/tmp.*/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/: Нет такого файла или каталога 

Kubuntu 14.04, chromium 43.0.2357.81

Проблеме подвержены пакеты с Chromium 43 во всех дистрибутивах Linux.

Опять белки-истерички на марше, или просто мейнтейнеры все вычистили еще до загрузки обновления?

gill_beits ★★★★
()
Последнее исправление: gill_beits (всего исправлений: 1)
  • скрытая загрузка
  • атака блобов
  • месть sync'ов
  • новая надежда
  • google наносит ответный удар
  • возвращение java
  • пробуждение --force-yes
grem ★★★★★
()

А смеяться всё равно будут над Столлманом, а ведь он предупреждал. Даже когда им корпорации руку по локоть в задницу засунут и будут за кишки тянуть.

А в остальных интернетах драма уже бурлит?

user42 ★★
()
Последнее исправление: user42 (всего исправлений: 1)
Ответ на: комментарий от anonymous

Пространстов на почте и облаке уже год как стало общим, точнее, теперь бесплатные 15 гиг - это почта + облако.

yurikoles ★★★
()
Ответ на: комментарий от Drolyk

ШОК!! FSF ВЫПУСКАЕТ ПРОПРИЕТАРНЫЙ СОФТ!!

А ведро может загружать проприетарную фирмварь благодаря исключению в лицензии, что теперь Linux стал проприетарщиной? Да что там, эту фирмварь можно скачать с помощью GNU Wget, а с помощью GCC проприетарщик может собирать свои блобы и не предоставлять соус.

yurikoles ★★★
()

Chromium

Ни разу не пользовался этим УГ. лол.

Oxdeadbeef ★★★
()
Ответ на: комментарий от anonymous

Одна из крупнейших корпораций, и печальная ситуация с Google Chrome.

kalterfive ★★
()
Ответ на: ШОК!! FSF ВЫПУСКАЕТ ПРОПРИЕТАРНЫЙ СОФТ!! от yurikoles
wget http://iso.esd.microsoft.com/W10IP/07973073D3117B492DAA3497B1BE5F96/Windows10_InsiderPreview_x64_RU-RU_10130.iso

О, Боже, да что же я делаю? Да я же качаю десяточку с помощью GNU Wget!

yurikoles ★★★
()
Последнее исправление: yurikoles (всего исправлений: 2)

А я вот пользуюсь Chromium так как, у меня очень слабенький ноут с маленьким экраном, а он - самый легковесный из того, что я нашел. Может, кто-то подскажет альтернативу?

nixit ★★
()
Ответ на: комментарий от sehellion

У них так все каталоги родительские каталоги дополнений называются.

yurikoles ★★★
()
Ответ на: комментарий от kalterfive

В Firefox через пару релизов пару релизов запретят установку неподписанных расширений. Хорошо, что можно их будет размещать на своих сайтах, но только после того как подпишешь и загрузишь на их официальный сайт.
https://lwn.net/Articles/633685/

yurikoles ★★★
()
Ответ на: комментарий от Jopich

учитывая что их поведение банально и совершнно никому не нужно

если бы оно было никому не интересно, за ними бы не следили

cvs-255 ★★★★★
()
Ответ на: комментарий от AndreyKl

Да прориетащики не знют уже как оправдываться. Плюс, возможно, в лицензии Chromium говорится о безвамездной передаче патентов, а они его зажали или только лицензировали.

yurikoles ★★★
()
Последнее исправление: yurikoles (всего исправлений: 1)
Ответ на: комментарий от mcFactor

какое отношение nexe имеют к «проприетарщине»?

nexer пользоваться проприетарщиной

вестимо

MyTrooName ★★★★★
()
Ответ на: комментарий от anonymous

Как то по видео непонятно, корпорации отлично спелись с анб, или же недовольны тем, что их заставляют отдавать данные?

cvs-255 ★★★★★
()
Ответ на: комментарий от cvs-255

а в чём смысл? кроме отправителя письма есть и получатель, и наоборот. или ты пишешь только таким же, с собственными почтовыми серверами?

anonymous
()
Ответ на: комментарий от kalterfive

firefox

Это те, которые без спроса грузят блоб от киски для h264? Это те, которые в новой тестовой версии прибили pocket гвоздями? Это у которых DRM плагин блоб от adobe автоматом качается? (последнее правда не касается линукс версии)

fornlr ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.