Обнаружена скрытая загрузка проприетарного блоба браузером Chromium

8

5

Один из пользователей Debian установил Chromium 43 и обнаружил, что при первом запуске браузер, не уведомляя пользователя, молча загружает и устанавливает расширение «Chrome Hotword Shared Module». Указанное расширение содержит внутри себя блоб (бинарный компонент), исходники которого не предоставляются. При этом, расширение даже не отображается в списке установленных расширений и не предоставляет возможности себя отключить.

Блоб называется «hotword-x86-64.nexe»:

$ chromium --temp-profile &
$ find /tmp/tmp.*/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword.data
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe
$ file /tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=24d25d55886dca48921031d6928b0a34f5659830, stripped

Этот компонент реализует систему голосового управления «OK, Google» и осуществляет постоянный захват звука с микрофона, ожидая произнесения ключевого слова.

Такое поведение браузера обеспокоило разработчиков Debian, поскольку скрытая загрузка проприетарного компонента грубо нарушает политику Debian, и пока остаётся неясным, как это упустил мейнтейнер соответствующего пакета. Вдобавок постоянный перехват микрофона сторонним закрытым приложением вызывает понятного рода опасения.

Проблеме подвержены пакеты с Chromium 43 во всех дистрибутивах Linux. В Debian соответствующий пакет уже обновлён и загрузка модуля отключена. Для отключения дополнения рекомендуется удалить директорию

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

По словам разработчиков Chromium, указанное дополнение загружается лишь после включения пользователем голосового поиска в настройках браузера, а его отсутствие в списке установленных дополнений объясняется тем, что оно является «внутренним». Исходный код же не предоставляется, поскольку для распознавания речи применены алгоритмы, защищённые патентами. В знак доброй воли разработчики уже добавили флаг, указание которого при сборке отключает загрузку этого дополнения.

Впрочем, существуют свидетельства того, что проприетарное дополнение автоматически устанавливается даже при отключённом голосовом поиске.

>>> Подробности

Ссылка

←	Вышел драйвер NVIDIA 352.21 для Linux

ZBilling — Интернет-шлюз с авторизацией через Active Directory

→

← 1 2 3 4 5 6 7 8 →

nexe

Нехер пользоваться проприетарщиной.

anonymous
(18.06.15 17:17:51 MSK)

Так, да. Догадывался о подобном.

~~ring0kill~~
(18.06.15 17:29:38 MSK)

Ссылка

//Открыл chromium и сказал: «OK Google. F**k you Google».

~~te111011010~~ ★
(18.06.15 19:26:09 MSK)

Исходный код же не предоставляется, поскольку для распознавания речи применены алгоритмы, защищённые патентами.

Как раз патенты изначально придумывались для того, чтобы изобретатели раскрывали свои изобретения.

~~te111011010~~ ★
(18.06.15 19:28:15 MSK)

Мне вот интересно, неужели ещё остались люди, полагающие, что Гугл даёт им 10-гиговый почтовый ящик, 17-гиговое облако и голосовое управление исключительно из чистого альтруизма? Если вам дают бесплатное, то, скорее всего, товар - это вы.

Неужели кто-то всерьёз полагает, что безнаказанно имея возможность получать запись с микрофона непрерывно, Гугл не воспользуется этим? Вспомним их машинки Street View, которые несли на борту оборудование, составляющее карту Wi-Fi точек. И совершенно случайно это оборудование умело подключаться к незапароленным точкам и записывать траффик. И таки записывало. Объяснили технической ошибкой. Ну-ну

anonymous
(18.06.15 19:44:55 MSK)

Указанное расширение содержит внутри себя блоб (бинарный компонент)

Подозрительно.

~~Deathstalker~~ ★★★★★
(18.06.15 19:44:56 MSK)

Ссылка

пока остаётся неясным, как это упустил мейнтейнер соответствующего пакета

можно подумать, что таки вещи можно вот так просто обнаружить

естественно, проще всего сбросить вину на мейнтейнера, ага

reprimand ★★★★★
(18.06.15 20:25:28 MSK)

Ответ на: комментарий от reprimand 18.06.15 20:25:28 MSK

естественно, проще всего сбросить вину на мейнтейнера, ага

Не знаю уж как в Debian, но в абсолютном большинстве дистрибутивов перед сопровождающим не стоит задачи аудита кода и отслеживания всех изменений. А уж с проектами размером с chromium это вообще очень затруднительно.

dinn ★★★★★
(18.06.15 20:43:39 MSK)

Ответ на: комментарий от dinn 18.06.15 20:43:39 MSK

естественно, проще всего сбросить вину на мейнтейнера, ага

это же сарказм был :)

reprimand ★★★★★
(18.06.15 20:45:19 MSK)

Ответ на: комментарий от reprimand 18.06.15 20:45:19 MSK

Я заметил, это скорее высказывание моего опыта как сопровождающего пакетов.

dinn ★★★★★
(18.06.15 20:47:08 MSK)

Ответ на: комментарий от dinn 18.06.15 20:47:08 MSK

аа, тогда понял :)

моего опыта как сопровождающего пакетов

уважаю

reprimand ★★★★★
(18.06.15 21:06:09 MSK)

Ссылка

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

Только у меня дежавю и воспоминания о следах в реестре всяких вирей?

ncrmnt ★★★★★
(18.06.15 21:53:18 MSK)

А интересно, на неинтеловых машинках оно тоже загружается?

alt-x ★★★★★
(18.06.15 21:55:58 MSK)

Как хорошо, что есть фирефокс!

anonymous
(18.06.15 22:02:08 MSK)

Теги в тему!

garik_keghen ★★★★★
(18.06.15 22:02:12 MSK)

Ссылка

> Исходный код же не предоставляется, поскольку для распознавания речи применены алгоритмы, защищённые патентами

Недавно же была новость про «Опенсорсную разпознавалку голоса!!!», которая отправляет голос распознаваться на сервер Google. Зато опенсорсная. Можно и в Chromium так сделать!

ZenitharChampion ★★★★★
(18.06.15 22:06:46 MSK)

Ой помню кто-то мне доказывал, что Chromium это версия Chrome без всякой проприетарщины и можно не опасаться, что за тобой следят. Где теперь эти наивные люди?

Folko85
(18.06.15 22:10:19 MSK)

Ссылка

Так вот откуда экосистема такая странная у хромоподелок :}

Deleted
(18.06.15 22:12:02 MSK)

Ссылка

Ответ на: комментарий от anonymous 18.06.15 17:17:51 MSK

Нехер пользоваться проприетарщиной.

Если Chromium — проприетарщина, то кто тогда опенсорс? :)

~~KRoN73~~ ★★★★★
(18.06.15 22:15:30 MSK)

Если честно то это охрненеть. Больше даже не буду смотреть в сторону хрома. А то интересно получается, делаешь себе tor тот же самый, а оно один хрен уровнем выше следит за тобой, потенциально конечно.

Drolyk ★★★★
(18.06.15 22:18:15 MSK)

Ответ на: комментарий от KRoN73 18.06.15 22:15:30 MSK

Ну судя по тому что он после установки засасывает болб, то таки да, махровая проприетарщина. У вас ведь нет сомнений в том что таже nvidia делает проприетарный драйвер?

Drolyk ★★★★
(18.06.15 22:19:16 MSK)

Ответ на: комментарий от Drolyk 18.06.15 22:18:15 MSK

А зачем использовать тор с хромиумом, фф и иже с ним? Есть же elinks и другая маргинальщина для таких вещей.

einhander ★★★★★
(18.06.15 22:22:49 MSK)

Теги порадовали.

На самом деле, не ожидал такого от Chromium. От Google Chrome — да, но не от Chromium. Все больше портится отношение к нему.

Klymedy ★★★★★
(18.06.15 22:24:26 MSK)

Удалил.

trueshell ★★★★★
(18.06.15 22:24:36 MSK)

Ссылка

Слава BG, у меня IE.

anonymous
(18.06.15 22:26:19 MSK)

Ссылка

Ответ на: комментарий от einhander 18.06.15 22:22:49 MSK

Можно вообще копьютером не пользоваться, выкопать погреб и там жить

Drolyk ★★★★
(18.06.15 22:26:32 MSK)

Ответ на: комментарий от Klymedy 18.06.15 22:24:26 MSK

почему не ожидал? кучу лет назад хромиум подловили что сливает гуглю втихоря

anonymous
(18.06.15 22:27:29 MSK)

Ответ на: комментарий от Drolyk 18.06.15 22:26:32 MSK

можно пользоваться. накачать 100 тб контента, выкопать погреб и там жить.

anonymous
(18.06.15 22:28:47 MSK)

УМННР хотя была та самая версия хромиума. что нужно пропатчить что бы заработало?

exception13 ★★★★★
(18.06.15 22:32:51 MSK)

Ответ на: комментарий от anonymous 18.06.15 22:28:47 MSK

вот и сиди там

Drolyk ★★★★
(18.06.15 22:33:21 MSK)

Ответ на: комментарий от Drolyk 18.06.15 22:33:21 MSK

потом не просись

anonymous
(18.06.15 22:35:01 MSK)

Ссылка

Ответ на: комментарий от Drolyk 18.06.15 22:19:16 MSK

Ну судя по тому что он после установки засасывает болб, то таки да, махровая проприетарщина

У Вас какие-то странные понятия о проприетарщине.

У вас ведь нет сомнений в том что таже nvidia делает проприетарный драйвер?

Конечно нет. Он же не опенсорсный.

~~KRoN73~~ ★★★★★
(18.06.15 22:35:43 MSK)

Ссылка

тэги доставили

(пользуюсь ff и абсолютно доволен)

I-Love-Microsoft ★★★★★
(18.06.15 22:36:18 MSK)
Последнее исправление: I-Love-Microsoft 18.06.15 22:36:52 MSK (всего исправлений: 1)

Ответ на: комментарий от anonymous 18.06.15 19:44:55 MSK

чем это лучше чем тоже самое но за деньги?

anonymous
(18.06.15 22:36:30 MSK)

Ответ на: комментарий от Drolyk 18.06.15 22:19:16 MSK

у nvidia всё по чесноку, блобы не прячут. худшее из зол что добром прикидывается.

anonymous
(18.06.15 22:38:33 MSK)

Ссылка

Ответ на: комментарий от I-Love-Microsoft 18.06.15 22:36:18 MSK

пользуюсь ff и абсолютно доволен

и абсолютно наивен

anonymous
(18.06.15 22:40:32 MSK)

Ссылка

Ответ на: комментарий от anonymous 18.06.15 22:36:30 MSK

Тем, что не за деньги. Ваш КО.

einhander ★★★★★
(18.06.15 22:40:40 MSK)

Ответ на: комментарий от einhander 18.06.15 22:22:49 MSK

браузер не нужен

anonymous
(18.06.15 22:41:51 MSK)

Ответ на: комментарий от ZenitharChampion 18.06.15 22:06:46 MSK

И постоянно слать поток с микрофона в сеть?

MrClon ★★★★★
(18.06.15 22:42:34 MSK)

Ответ на: комментарий от einhander 18.06.15 22:40:40 MSK

подразумевалось, хуже, обшибся

anonymous
(18.06.15 22:43:05 MSK)

Ссылка

Ответ на: комментарий от anonymous 18.06.15 22:27:29 MSK

Не ожидал, потому что свободный. О том, что было кучу лет назад, видимо, не слышал.

Klymedy ★★★★★
(18.06.15 22:44:17 MSK)

Ответ на: комментарий от Klymedy 18.06.15 22:44:17 MSK

http://habrahabr.ru/post/101396/

anonymous
(18.06.15 22:47:40 MSK)

Ссылка

Хейтеры говорят «открытый код не нужен, туда что-то внедрят и никто не заметит». Вот заметили же, и без мейтейнера даже. И анонимус новость написал. Сила сообщества, фигли :)

goingUp ★★★★★
(18.06.15 22:52:37 MSK)

Кстати, анон что, создал тег? Как?

Klymedy ★★★★★
(18.06.15 22:57:29 MSK)

Меня новость не удивляет. А вот директория:

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

Напоминает случайные комбинации названий файлов всякой вирусятины и прочего, что символизирует

sehellion ★★★★★
(18.06.15 23:02:53 MSK)

Ответ на: комментарий от Klymedy 18.06.15 22:57:29 MSK

Разве? Кто-то в теме просил теги добавить. Уж не fallaut4all ли сделал это?

sehellion ★★★★★
(18.06.15 23:03:41 MSK)

Ответ на: комментарий от sehellion 18.06.15 23:03:41 MSK

Теги есть в исходной версии.

Klymedy ★★★★★
(18.06.15 23:07:11 MSK)

Ответ на: комментарий от Klymedy 18.06.15 23:07:11 MSK

Тогда не знаю, я не такой продвинутый пользователь лора, только каменты писать могу

sehellion ★★★★★
(18.06.15 23:10:56 MSK)

Ссылка

Ничего нового. Google - компания созданная для реализации идеи тотального контроля над обществом а Chromium один из его анальных зондов.

mongo
(18.06.15 23:12:43 MSK)

Ссылка

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

Прекрасно, традиции названий папок и файлов троян-стайл должны жить вечно! «Гугль! Сохраним! Сбережем!»

anonymous
(18.06.15 23:19:51 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 3 4 5 6 7 8 →

←	Вышел драйвер NVIDIA 352.21 для Linux

Интернет

ZBilling — Интернет-шлюз с авторизацией через Active Directory

→

Похожие темы