LINUX.ORG.RU

Обнаружена скрытая загрузка проприетарного блоба браузером Chromium

 ,


8

5

Один из пользователей Debian установил Chromium 43 и обнаружил, что при первом запуске браузер, не уведомляя пользователя, молча загружает и устанавливает расширение «Chrome Hotword Shared Module». Указанное расширение содержит внутри себя блоб (бинарный компонент), исходники которого не предоставляются. При этом, расширение даже не отображается в списке установленных расширений и не предоставляет возможности себя отключить.

Блоб называется «hotword-x86-64.nexe»:

$ chromium --temp-profile &
$ find /tmp/tmp.*/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword.data
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe
$ file /tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=24d25d55886dca48921031d6928b0a34f5659830, stripped

Этот компонент реализует систему голосового управления «OK, Google» и осуществляет постоянный захват звука с микрофона, ожидая произнесения ключевого слова.

Такое поведение браузера обеспокоило разработчиков Debian, поскольку скрытая загрузка проприетарного компонента грубо нарушает политику Debian, и пока остаётся неясным, как это упустил мейнтейнер соответствующего пакета. Вдобавок постоянный перехват микрофона сторонним закрытым приложением вызывает понятного рода опасения.

Проблеме подвержены пакеты с Chromium 43 во всех дистрибутивах Linux. В Debian соответствующий пакет уже обновлён и загрузка модуля отключена. Для отключения дополнения рекомендуется удалить директорию

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

По словам разработчиков Chromium, указанное дополнение загружается лишь после включения пользователем голосового поиска в настройках браузера, а его отсутствие в списке установленных дополнений объясняется тем, что оно является «внутренним». Исходный код же не предоставляется, поскольку для распознавания речи применены алгоритмы, защищённые патентами. В знак доброй воли разработчики уже добавили флаг, указание которого при сборке отключает загрузку этого дополнения.

Впрочем, существуют свидетельства того, что проприетарное дополнение автоматически устанавливается даже при отключённом голосовом поиске.

>>> Подробности

anonymous

Проверено: fallout4all ()
Последнее исправление: mono (всего исправлений: 2)
Ответ на: комментарий от bugs-bunny

Все верно, это детектор олдфагов. Вы третий, кто сдетектил.

ncrmnt ★★★★★
()
Ответ на: комментарий от fenris

/tmp/tmp.*

В .config/chromium/Default/Extensions посмотри.

Спс. Все нашел, удалил. Автору новости капитальный незачет — так трудно по-человечески указать путь до директории?

И таки да, подтверждаю — голосовой поиск не включен, но блоб все равно был загружен.

gill_beits ★★★★
()
Последнее исправление: gill_beits (всего исправлений: 1)

Так а в чем проблема? Блоб загрузился и запустился без спросу пользователя?

andreyu ★★★★★
()

Linux безопасный, такой безопасный.

GMax
()
Ответ на: комментарий от anonymous

я полагаю, rms. Что для одного блоб, то для другого удобства

arcanis ★★★★
()
Ответ на: комментарий от nekochan

А если он будет начать не на старте, а с некоторой задержкой (минут 30), что тогда?

Другой кейс, вот я нашел, что он мне это расширение качает и выпилил его патчами. Потом ко мне пришел vertexua со словами «какого хера ты выпилил функциональность?».

arcanis ★★★★
()

у меня эта хня тянулась с 41 версии хрома, после шаманства с конфигами и флагами, когда настраивал голосовой поиск... так что все норм, брат жив. подозрительной сетевой активности не было замечено до фразы «ок гугл». можно спать спокойно.

timdorohin ★★★★
()
Ответ на: комментарий от makoven

И что теперь прикажете делать?

Пилить Web 2 - с браузером и разметками :)
Есть, например, XAML. Как разметка элементов на странице - безупречен. К нему нужно допилить некие текстовые DIV'ы, которые будут поддерживать всякие bold/italic и картинки. В результате мы имеем не только ЧЕЛОВЕЧЕСКИЙ язык для страниц, но и базу для веб-приложений, на порядок более удобную, чем html со всеми его му**цкими потрохами. И не смотрите, что от MS - главное - это технологии и опенсорс никто не убьёт за попытку юзать удобные вещи.
ХТМЛ - он вообще ни туда, ни сюда - ни для паблишинга, ни для программ, так что мы ничего не теряем.

matumba ★★★★★
()
Ответ на: комментарий от anonymous

конкретизируй, а то непонятно, ты борец за свободу и демократию или террорист

Если блоб работает как надо, то должны приехать и разобраться

ishmourzin
()
Ответ на: комментарий от matumba

Язык HTML и тормоза файрфокса никак не связаны. Файрфокс тормозит потому, что у мозилы денег на много порядков меньше, чем у гугла. И это заметно в каждой мелкой детали интерфейса и юзабилити этих браузеров

makoven ★★★★★
()
Ответ на: комментарий от makoven

мозиле с гугля откатили чтоб странички тормозили

anonymous
()
Ответ на: комментарий от anonymous

Ништяк. Ты сам как, Вась?

//вован

anonymous
()
Ответ на: комментарий от matumba

Есть, например, XAML.

Не нужно. Есть Lisp.

К нему нужно допилить некие текстовые DIV'ы, которые будут поддерживать всякие bold/italic и картинки.

Не нужно. Есть CSS.

anonymous
()
Ответ на: комментарий от Deleted

Нет, я лишь говорю, что факт того, что алгоритм незапатентован, не является препятствием для того, чтобы не открывать код. Пусть и под несвободной лицензией.

te111011010
()
Ответ на: комментарий от makoven

Но CSS же не s-exp

Суть в том, что всяким bold/italic и т.п. в разметке делать нечего. Уже все поняли, что это глупо. А так, конечно же лучше и CSS заменить на Лисп, ибо CSS настолько приметивен, что придуманы всякие костыли вроде sass и less.

anonymous
()
Ответ на: комментарий от anonymous

bold/italic и т.п. в разметке делать нечего

Что правда, то правда. html-5 хакиры вместо них пишут strong/em. Успешные пользователи CMS на PHP пишут [b]/[i]. Эстетствующие сексуальные меньшинства пишут <span class=«bootstrap-em»> (как-то так). Гордые держатели собственных микробложиков пишут _/**. Суть от этого как-бы не меняется

makoven ★★★★★
()
Ответ на: комментарий от makoven

Суть от этого как-бы не меняется

Суть в том, что если

b {
  font-weight: normal;
  font-style: italic;
}

то b превратится в i. Семантика течёт, как у лохов. Поэтому html5-хакиры правильно делают, что используют strong/em. Остальные лохе.

anonymous
()
Ответ на: комментарий от anonymous

> Есть, например, XAML.
Не нужно. Есть Lisp.

аноним, ты му**акуй где-нибудь ещё, ага? Глупые теоретические словоблудства ты можешь всегда проявить за пивом, а я говорю о конкретных технологиях, которые уже сегодня МОГУТ быть использованы для избавления от хтмл-гемороя.

> К нему нужно допилить некие текстовые DIV'ы, которые будут поддерживать всякие bold/italic и картинки.
Не нужно. Есть CSS.

Это ты не мне умничай, я и без тебя CSS могу сваять! Это ты миллионам хомячков и похапастов скажи - хотят они вместо трёх символов юзать какие-то дебильные span'ы, когда задача стоит проще пареной репы.

Текст любой статьи/бложика - он по-сути ИНФОРМАЦИЯ и не особо изобилует стилями (да и основы дизайна не рекомендуют попугайствовать на страницах). Поэтому какой-то минимальный набор УДОБНЫХ тегов нужен, чёрт с ней, с семантикой! Тег <B> даст не меньше информации, чем <strong>. К слову, если мы уходим от неуклюжего хтмл к XAML, ничто не мешает самому вводить и обрабатывать теги, которые ВОЗМОЖНО соизволят обработать поисковики - про них тоже не надо забывать.
Короче, сейчас нет смысла скатываться в детали, нужно просто понять: хтмл умер с первым же CGI-скриптом и не дотягивает даже до элементарного «языка страниц», ибо заморочен по самые теги. Простота - вот что является основой. Если можно придумать что-то лучше XAML - ради бога, но кзамл СЕЙЧАС имеет смысл как технология, которая уже давно в отрасли и новичкам есть у кого ей учиться (да и не особо она сложная!). А учитывая, что и инструменты уже есть готовые, их доводка под «веб - 2» не потребует серьёзных инвестиций.

matumba ★★★★★
()
Ответ на: комментарий от makoven

Если уж говорить о тормозах, думаю, половина из них как раз и вызваны поддержкой маразма под названием хтмл - достаточно посмотреть на методы позиционирования (на ВСЕ методы!), как тебя вгоняет в нанайскую тоску. Ну и плюс жабоскрипт, конечно - игры в динамику никогда не давали даже близкой скорости статики.

matumba ★★★★★
()
Ответ на: комментарий от Ghostwolf

... и ничего не случилось.

Откуда тауая уверенность?

anonymous
()
Ответ на: комментарий от matumba

аноним, ты му**акуй где-нибудь ещё, ага? Глупые теоретические словоблудства ты можешь всегда проявить за пивом, а я говорю о конкретных технологиях, которые уже сегодня МОГУТ быть использованы для избавления от хтмл-гемороя.

Пока ты распинаешься мыслёй по древу, выказывая свои умнейшие теоретические выкладки, масса людей используют HTML. Ну и Lisp :-) (Особенно радует, когда Lisp используется у ни о чём не догадывающегося работодателя с последующим увольнением Lisp-программиста.) :-)

Текст любой статьи/бложика - он по-сути ИНФОРМАЦИЯ и не особо изобилует стилями (да и основы дизайна не рекомендуют попугайствовать на страницах).

Кто ты есть, чтобы судить о «правильных» или «попугайских» стилях? :-)

чёрт с ней, с семантикой!

Так обычно плохие программисты говорят. Как правило, все они - нервные Lisp-хейтеры :-) Ну и любители XML, это уж само собой. :-)

которые ВОЗМОЖНО соизволят обработать поисковики - про них тоже не надо забывать.

Все эти слова, написанные прописными буквами, лишь только привносят много воды и массу сомнений в правдивости :-)

нужно просто понять: хтмл умер с первым же CGI-скриптом и не дотягивает даже до элементарного «языка страниц»

Ты ошибаешься, сейчас в ходу HTML5 :-) Ну а насчёт недо- «языка страниц», то это благодаря бездарям, не оценивших Lisp :-)

Если можно придумать что-то лучше XAML

Придумали ещё в 1958 году. Lisp. :-)

но кзамл СЕЙЧАС имеет смысл как технология, которая уже давно в отрасли и новичкам есть у кого ей учиться (да и не особо она сложная!). А учитывая, что и инструменты уже есть готовые, их доводка под «веб - 2» не потребует серьёзных инвестиций.

Помечтай, помечтай :-) Особенно в теме про «уязвимость в фавиконе» :-)

anonymous
()
Ответ на: комментарий от anonymous

Помечтай, помечтай :-) Особенно в теме про «уязвимость в фавиконе» :-)

Ну или в теме про «блоб». Хрен редьки не слаще :-)

anonymous
()
Ответ на: комментарий от arcanis

я если сомневаюсь - оставляю на долго под wireshark-ом. ещё можно посёрфить локально со своего сервера и посмотреть не лезет ли оно куда в это время. я таким образом браузеры проверяю уже лет 5 и этот блоб мне бы попался. я понимаю, что можно совсем упараноится и предположить, что оно будет качать блоб по чуть-чуть пряча порции внутрь например картиночек при заходе на «подконтрольные» сайты. но это уже тот уровень паранойи, при котором придётся просматривать все исходники глазами и вникать в каждую строчку.

nekochan
()
Ответ на: комментарий от Deleted

Пусть делают, что хотят. Только пусть не оправдываются какими-то патентами, а прямо скажут: «Мы жадные, поэтому не откроем». Или «да, там spyware, мы можем себе это позволить».

te111011010
()
Ответ на: комментарий от nekochan

это не решает второго кейса. Как видится мне, ты, как и большинство местных комментаторов, решаешь не ту проблему. Если какой то софт имеет избыточную функциональность, то нужно не выбрасывать это, а просто не использовать. В данном контексте, вместо того, чтобы патчить сурцы хромиума, огнелиса, почтового клиента, дропбокса, etc, чтобы сделать одно и то же действие, лучше настроить доступ приложений соответственно.

arcanis ★★★★
()

Скрытая угроза

каждый раз когда вижу эту новость читаю как сабж

yurikoles ★★★
()
Ответ на: комментарий от Drolyk

ещё мы знаем, что тн «открытый» драйвер амд засылает блобо-прошики в видеокарту. чего мы не знаем — это того, что эти блобо-прошивки делают

anonymous
()

Вдобавок постоянный перехват микрофона сторонним закрытым приложением вызывает понятного рода опасения.

Вот же блин, а я думал, откуда они всё знают, искал прослушку, избивал соседей, удалял порнуху...

А оказывается это всё долбанный Хромиум!!!

Ушёл покупать стелс-дробовик и авиабилеты в США.

DRVTiny ★★★★★
()
Ответ на: комментарий от DRVTiny

Если серьёзно, тот факт, что полноценному Chrome'у реально нужны root'овые права - якобы для самоизоляции, - уже однозначно говорил о том, что с браузером от Google что-то сильно не то.

Ну и захват потока от микрофона... по-моему это немного похоже на огромную неприкрытую задницу Nix'ов: мы все так дружно переживаем, как бы ядро кто не сломал и не получил эфемерные полномочия ломать вашу рабочую станцию и при этом реально позволяем nix'ам без всякого нашего ведома использовать тот же микрофон. Почему бы тогда браузеру заодно не дать возможность прослущивать raw-поток обмена с жёстким диском? А что, оно же не пишет на жёсткий диск, а просто хочет послушать «радиотрансляцию» с него.

DRVTiny ★★★★★
()
Ответ на: комментарий от anonymous

Пока ты распинаешься мыслёй по древу, выказывая свои умнейшие теоретические выкладки, БИОмасса людей используют HTML

FIXED

DRVTiny ★★★★★
()
Ответ на: комментарий от DRVTiny

Chrome'у реально нужны root'овые права

Пруфов или п****ж 4.2, ну или формулируй лучше/конкретней.

Не нужны ему рутовые права.
Чтоб пакет установить да, для работы нет.

b0c0813f
()
Ответ на: комментарий от b0c0813f
ls -l /opt/google/chrome/chrome-sandbox 
-rwsr-xr-x 1 root root 14544 апр.  13 22:32 /opt/google/chrome/chrome-sandbox
DRVTiny ★★★★★
()
Ответ на: комментарий от matumba

А есть какие нибудь истории успеха на xaml? Можешь сверстать что-нибудь типо https://medium.com/ чтобы посмотреть какой там маркап выходит?

zz ★★★★
()
Ответ на: комментарий от Ghostwolf

Сказал «ok, google» и ничего не случилось. Этот блоб не рабочий.

Может там локализованная версия. Попробуй «Хайль Путин».

FiXer ★★☆☆☆
()
Ответ на: комментарий от anonymous

Гугл по твоим запросам в течении 2-3 лет не может даже приблизительно определить возраст или релевантно подобрать рекламу. Короче, они подают каноничный пример, как НЕ надо работать с big data.

anonymous
()
Ответ на: комментарий от anonymous

это симуляция, закос под дурачка, чтобы тебя лишний раз не пугать и не травмировать. гугль в несколько кликов узнать что ты ел на завтрак. а анб ещё быстрее и полнее, потому что на них пашет не только гугль, но и конкуренты плюс свои бюджетные наработки.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.