¿Vas escoltar parlar de DataSpii? Quan les extensions del navegador saben massa

Diego Germán González

4 minuts

¿Vas escoltar parlar de DataSpii? és la recopilació de dades per part de les extensions

El lloc d'informació sobre trànsit web Nacho Analitycs rep informació recopilada per extensions de navegador.

¿Vas escoltar parlar de DataSpii? En poques palabaras, és la recopilació dels teus hàbits de navegació, contrasenyes i altres dades sensibles que fan algunes extensions del navegador Aquesta informació acaba, en molts casos, en mans d'empreses que comercialitzen les dades.

El pitjor de tot és que aquesta forma de violació de la privacitat és fruit de la desídia dels desenvolupadors de navegadors i dissenyadors de llocs web. Són els que permeten que els que estan darrere de les extensions treguin uns euros extres venent la nostra informació.

¿Vas escoltar parlar de DataSpii? Per què hauríem de haver-ho fet

DataSpii és un veritable forat a la privacitat dels usuaris que es troba àmpliament comprovat. No obstant això, no s'han pres les mesures suficients com per protegir els usuaris.

La majoria de nosaltres utilitzem el navegador web per a tasques que requereixen confidencialitat; realitzar cites mèdiques, fer operacions en una entitat bancària, interactuar amb equpos de treball en projectes delicats i, per què no reconèixer-ho, veure pel·lícules que la nostra mare no aprovaria. El que a el menys quatre milions d'usuaris de certes extensions de Chrome i Firefox no sabien, és que algunes extensions del seu navegador recopilaven les URL, els títols de les pàgines web i, en alguns casos, els enllaços incrustats de totes les pàgines que l'usuari d'el navegador visitava. Aquesta informació era compartida amb un lloc anomenat Nacho Analytic, una empresa que ofereix informació sobre tràfic a Internet a canvi d'un pagament.

Entre la informació recopilada es trobaven enllaços que en lloc de conduir a llocs protegits per contrasenyes usaven tokens (grups de caràcters aleatoris i difícils de predir). A l'conéixer l'enllaç es pot accedir a el lloc sense problemes.

Aquests són alguns exemples de la informació a la qual es va poder accedir:

  • Videos de vigilància de llars i empreses allotjats en el núvol d'empreses de seguretat.
  •  Declaracions d'impostos, dades de facturació, documents comercials i diapositives de presentació allotjades en Microsoft onedrive, Intuit.com i altres serveis en línia. 
  • Números d'identificació d'automòbils comprats recentment, juntament amb els noms i adreces dels compradors. 
  •  Els noms dels pacients i dades sobre els metges que van visitar en plataformes de torns en línia.
  • Itineraris de viatge allotjats en Priceline, Booking.com i llocs web de línies aèries .
  •  Arxius adjunts de Facebook Messenger i fotos de Facebook, fins i tot quan les fotos estaven configurades per ser privades.

Encara en aquells casos en què els enllaços no permetessin accés sense contrasenya, es trobaven molts que incloïen informació sensible.

Així es va descobrir el problema

La persona en donar l'alarma sobre el que estava passant va ser Sam Jadali, creador de un servei de hosting. Jadali va descobrir que Nacho Analitics, una empresa que ofereix informació sobre trànsit web, incloïa en els seus informes enllaços d'un dels clients de la seva empresa de hosting. Aquests enllaços portaven a converses privades en fòrums. Aquestes converses només haurien de ser accessibles només per al remitent i el destinatari. Després de revisar més de 200 extensions trobar diverses que pujaven el hsitorial de navegació a servidors externs.

El terme DataSpii sorgeix d'ajuntar les paraules data (dades) Spy (espia) personal, identificable i information.

Per determinar quines eren les extensions culpables d'enviar les dades dels seus clients a Nacho Analitics, Jadali va fer les següents proves:

  • Va configurar una nova instal lació de Windows i Chrome, i després va utilitzar l'eina de seguretat Eructe Suite i l'extensió FoxyProxy Chrome per observar com es comportavan les extensions sospitoses.
  • En aquesta instal·lació també va provar extensions de navegador Firefox i va instal·lar màquines virtuals que executen macOS i Ubuntu.

De les proves que va fer sorgir la llista de sospitosos:

  •  Fairshare Descobrir: una extensió de Chrome i Firefox per accedir al contingut premium d'aquest lloc en forma gratuïta.
  • SpeakIt!: una extensió per Chrome que llegeix textos.
  • Passa el ratolí Zoom: una extensió de Chrome per permetre ampliar imatges.
  • PanelMeasurement: Una extensió de Chrome per trobar estudis de mercat.
  • Super Zoom: Una altra extensió per ampliar imatges, disponible en aquest cas per Chrome o Firefox.
  • SaveFrom.net Helper: Extensió per a Firefox que facilita la descàrrega de continguts.
  • De marca Enquestes: Aquesta extensió ofrece la possibilitat de rebre diners en efectiu i altres premis a canvi de completar enquestes en línia. 
  • Panell Comunitat Enquestes: Otra aplicació que ofereix recompenses per respondre enquestes en línia. 

¿Vas sentir el patró? Moltes d'aquestes extensions o permeten l'accés gratuït a serveis de pagament o prometen guanyar diners fàcilment.

Encara que tant Firefox com Chrome eliminen les extensions denunciades, éaquestes poden descarregar-se moltes vegades des del lloc web dels desarrolladores.Por altra banda, no es desactiven les extensions ja instal·lades.

L'aconsellable és tener dos navegadors instal·lats. Un per a la informació sensible, en el possible sense extensions, i un altre amb les extensions que vulguis i que mai has de fer servir per a transmetre i rebre informació sensible


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.