Полтора года назад коммерческая компания SimilarWeb купила дополнение Stylish, портал userstyles.org и приступила к сбору обезличенной статистики, передаваемой дополнением.
Выяснилось, что, вопреки этим заявлениям, дополнение передаёт историю просмотра браузера и даже ссылки, содержащиеся на страницах, посещённых пользователем.
Уже в 2017 году некоторые пользователи указывали на подобное поведение Stylish, но внимание это привлекло несколько дней назад после исследования, проведённого Робертом Хитоном.
Исследователь заметил, что дополнение постоянно связывается с сервером и передаёт массивы данных в бинарном виде. Применяется двойное кодирование по алгоритму base64, чтобы скрыть факт передачи данных от поверхностного взгляда.
Передаваемые данные содержали не только полную историю просмотра браузера, но и уникальный идентификатор. Если пользователь, вдобавок, хоть раз создавал учётную запись на userstyles.org (например, чтобы поделиться стилями), то связать идентификатор с учётной записью не составляет для сервера ни малейшего труда.
Это не позволяет говорить об обезличенности. Уже даже само посещение адреса наподобие https://www.linkedin.com/in/robertjheaton/edit однозначно свидетельствует о личности конкретного пользователя. Кроме того, в адресе может содержаться секретный токен (для сброса пароля / активации учётной записи) или учётные данные. Хранилище Amazon S3, например, практикует выдачу ссылок, которые не требуют авторизации, но «живут» лишь ограниченное время.
В настройках Stylish можно отключить передачу данных, но по умолчанию она включена.
Mozilla немедленно удалила дополнение из каталога и заблокировала его работу у пользователей (если, конечно, пользователь не отключил в настройках обновление чёрного списка вредоносных и проблемных дополнений). Рекомендуется перейти на Stylus — форк Stylish, созданный ещё до внедрения телеметрии.
Google тоже удалила дополнение из Chrome Web Store.
>>> Подробности
