Doplněk zabezpečení Firefoxu na 222k zařízeních nalezených Odesílání dat procházení na vzdálený německý server

Zprávy
Bezpečnostní / Doplněk zabezpečení Firefoxu na 222k zařízeních nalezených Odesílání dat procházení na vzdálený německý server 1 minuta čtení

Neowin



Existuje oblíbený doplněk prohlížeče, který si podle vlastních statistik stahování doplňků Mozilla instaluje 222 746 uživatelů prohlížeče Firefox. Podle německého blogera zabývajícího se zabezpečením, Mikea Kuketze a autora uBlock Origin, Raymonda Hilla, tento konkrétní doplněk špehuje aktivitu uživatelů tím, že využívá historii svých prohlížečů a sleduje webové stránky, které navštěvují. Tento doplněk je rozšířením Web Security pro prohlížeč Mozilla Firefox.

Zabezpečení webu je navržen tak, aby chránil uživatele před online phishingem a malwarovými útoky, které by mohly potenciálně ukrást osobní údaje. Zdá se to stejně ironické, protože se ukázalo, že rozšíření neeticky udržuje karty (určené pro slovní hříčky) s vašimi vlastními informacemi a vyhýbá se vašemu soukromí bez vašeho souhlasu. Důvodem, proč tato zpráva zasahuje tak masivně, je to, že tento doplněk zveřejnila samotná Mozilla v blogovém příspěvku minulý týden. Doplněk se může pochlubit fantastickými recenzemi, a proto ho tolik lidí používá tak široce.



Mozilla příspěvek na blogu byl rychle sundán poté, co Hill objevil tuto chybu v doplňku a vychoval to na Reddit říká, že rozšíření by se zveřejnilo na http://136.243.163.73/ pro každou webovou stránku načtenou v prohlížeči. Dále uvedl, že zveřejněná data v tomto okamžiku nebyla dešifrována, a vyzval další bezpečnostní analytiky, aby se na to podívali. Včera si Kuketz všiml stejné zvláštnosti a dále ji prozkoumal, aby zjistil, že adresy URL navštívené uživateli se nastavují na německý server.



Ačkoli některé aplikace používají k vyhledávání potenciálních hrozeb data URL, žádné takové hledání nemá za následek přenos dat do vzdáleného umístění serveru. Při pohledu na kód (níže) bylo zjištěno, že to nebylo jen zvyky návštěvníků webových stránek při návštěvě webových stránek, ale také je přihlašování pomocí ID uživatelů měřilo jejich celkové vzorce procházení. Tato analýza a sběr dat nejsou nutné pro účely, kterým rozšíření slouží. Dva podobné doplňky, Stylish a Web of Trust, byly zakázány pro shromažďování informací stejným způsobem, ale Web Security dosud nebyl zakázán.