Google удаляет расширение Chrome, которое собирало данные у 1.2 млн. пользователей

10.04.2015 | 01:21 Экономика

Разработчик Webpage Screenshot отрицает, что персональные данные отправлялись на его сервер

Google удалила собирающее данные расширение Chrome из своего магазина расширений после того, как компании безопасности сообщили, что данное дополнение скрыто передавало информацию о более, чем миллионе пользователей.

Webpage Screenshot был скачан более 1.2 миллиона раз, в соответствии с информацией на Chrome Web Store.

Удаленное расширение не имеет отношение к расширению с таким же названием, созданным 64 Pixels, которое все еще есть в магазине.

Отчеты пары компаний безопасности — шведской Sentor и датской Heimdal Security, обнаружили данную проблему надстройки во вторник и в среду соответственно. Исследователи из каждой компании обнаружили, что расширение, которое, как предполагает его название, захватывает скриншоты изображений в Chrome, передает URL-адреса и названия вкладок страниц, просмотренных пользователем, а также местоположение пользователя.

Расширение также присваивало уникальный идентификатор каждому пользователю.

В качестве примера, исследователь Sentor отметил, что, если пользователь получал доступ к онлайн-аккаунту электронной почты из Chrome, дополнение записывало тему сообщения, а также адрес электронной почты отправителя. Затем информация передавалась на IP-адрес в США.

Важно отметить, что в опубликованном в магазине варианте, расширение не включает код, собирающий данные. Вместо этого, Webpage Screenshot загружал дополнительный код из облачного сервера Amazon через неделю после того, как было установлено, чтобы активировать шпионаж и скрейпинг.

В своих условиях использования, Webpage Screenshot указывал, что захватывал пользовательские данные. Текст в описании Chrome Web Store содержит то же самое: «Использование Webpage Screenshot требует выдачи разрешения для получения анонимных данных о посещениях».

Люди сталкиваются с такого рода компромиссами ежедневно, сказал Вим Ремес, менеджер стратегических услуг компании безопасности Rapid7.

«Не существует такого понятия, как бесплатно. В онлайн-мире, где персональная информация стала валютой, пользователи должны принимать решения о том, чего стоит функциональность, которую они хотят», сказал Ремес. «Магазины приложений могут давать соответствующую информацию — что эти программы собирают, но я не уверен, что мы можем иметь бесплатные приложения без какого-либо компромисса».

Sentor проследила автора Webpage Screenshot с помощью WHOIS и утверждает, что разработчик базируется в Израиле. Сайт расширения был пустым по состоянию на начало четверга, и разработчик отказался отвечать на большинство вопросов, в том числе — что делалось с данными пользователей?

«Личные данные никогда не отправлялись ни на какой сервер», ответил разработчик Webpage Screenshot по электронной почте. Sentor и Heimdal заявляют обратное.

Google удалила Webpage Screenshot из Chrome Web Store во вторник.

Только на прошлой неделе компания Google объявила, что она отключила почти 200 «вредных расширений Chrome», которые были распространены среди более, чем 14 миллионов пользователей через ее магазин дополнений. Тогда же Google заявила, что начала использовать технологию, созданную исследователями Университета Беркли, чтобы «сканировать все новые и обновленные расширения».