Chrome-tilläggen spionerar på dina surfvanor - så här skyddar du dig

Säkerhetsforskare på det svenska företaget Sentor identifierade nyligen ett webbläsartillägg till Google Chrome som samlar känslig information för att kartlägga sina användare, men mycket tyder på att problemet är betydligt mer omfattande.

Genom att analysera trafikmönster och källkod kan man med ganska enkla medel hitta andra spionerande tillägg. TechWorlds analys visar att ytterligare fem av de mest använda tilläggen, var och ett med över en miljon användare, samlar data om vilka sidor som besöks, vissa på mer legitima grunder än andra.

Vi ska i den här artikeln gå igenom hur Sentor fann tillägget, hur man själv kan identifiera spionerande tillägg och lista de värsta syndarna bland de mest använda tilläggen.

Tillgång till all surfinformation

Webbläsartillägg i Chrome har tillgång till allt innehåll i sidorna du surfar på, inklusive headers och kakor, samt viss information om din dator. Somlig information, till exempel datorns fysiska position, kräver särskilda rättigheter och användarens godkännande, men det framgår inte alltid tydligt vad ett tillägg har tillgång till.

I början av april rapporterades det om ett tillägg som missbrukade sina befogenheter för att spionera på sina användare. TechWorld har pratat med Cristian Mariolini, säkerhetsanalytiker på Sentor var den som upptäckte problemet med hjälp av företagets tjänst Scrapesentry. Han berättar att ett antal användares datorer skickade regelbundet data till en server i USA. Efter att ha identifierat och analyserat de drabbade datorerna fann man en gemensam nämnare, webbläsartillägget Webpage Screenshot.

Vid teknisk analys av tilläggets källkod hittade man dold kod som skickade information om varje sida som besöks, däribland sidans adress och titel.

Tillägget är nu borttaget från Googles app- och tilläggsbutik Chrome Web Store, men Sentor har sparat källkoden för vidare analys.

Strax därefter upptäckte Cristian Mariolini ytterligare ett tillägg, Screenshot Capture, som har näst intill identisk kod som Webpage Screenshot, men som har betydligt färre användare.

– Jag gissar att det finns en hel del extensions på Webstore som bara är kopierade av de andra, men som injicerar andra skript, säger Cristian Mariolini.

 
Gömmer sig bakom användaravtal

I en kommentar i koden för Webpage Screenshot finns referenser till ett annat populärt webbläsartillägg, Hover Zoom. Det tillägget uppmärksammades i januari föra året för spionage på sina nära 1,2 miljoner användare. Men det finns fortfarande kvar i Chrome Web Store och samlar fortfarande in värdefulla data ”anonymt”.

I användaravtalet friskriver sig utvecklarna från ansvar: "When you use Hover Zoom and leave “Enable anonymous usage statistics” checked in the options page, you consent to the collection, use and disclosure of your information as described in this Privacy Policy. [...] The data collected includes, but is not limited to: IP address, unique identifier number, user agent, and webpage URLs visited. We may share with and sell this data to third parties [...]”

Ett exempel på hur det kan se ut när ett tillägg frågar efter rättigheter.

Googles regelverk förbjuder inte uttryckligen den här sortens datainsamling, så länge en användares privata data inte skickas på ett “osäkert eller oauktoriserat” sätt. Huruvida den datainsamling som sker bryter mot Googles policy är en tolkningsfråga. Att det handlar om privat data är tydligt, men den kommuniceras över säker anslutning och friskrivningarna i Hover Zooms användaravtal kan tolkas som att kommunikationen är auktoriserad.

5 av 44 vanligaste spionerar

Av de cirka 29 000 tillägg som finns i Chrome Web Store har 44 stycken fler än en miljon användare. I en första analys gick vi igenom dessa för att identifiera andra potentiella spionerande tillägg.

Vi fann att fem av tilläggen direkt skickar vidare informationen om vilken webbsida du besöker. Vissa tillägg, till exempel Avast Online Security, har mer legitima syften då den kontrollerar varje adress mot sin databas av "elaka" sidor. Avast säger sig skydda din integritet genom att blockera innehåll som spionerar på dig, men kontrollen kan i sig utgöra en integritetsrisk. Med sin community med, enligt egen utsago, över 220 miljoner användare, skulle Avast teoretiskt sett kunna använda insamlade data för storskalig kartläggning av internetvanor.

Likt Avast har tillägget WOT, Web of Trust, som syfte att skydda din integritet genom att kontrollera de sidor du besöker, men utöver det insamlas samma "anonyma" statistik som i fallet Hover Zoom.

Data som skickas av WOT, kodat två gånger för att dölja innehållet.

Både Amazon 1button och Avast Safeprice erbjuder prisjämförelse och letar upp bra erbjudanden när du shoppar på nätet, men i bakgrunden skickar de data om varje sida du besöker, trots att deras tjänst bara kan utnyttjas i webbutiker.

Det finns naturligtvis vissa fördelar med att dela med sig av informationen – som alltid är det en avvägning mellan tillgänglighet gentemot personlig integritet.

Så här trafiken som genereras ut när man besöker sajten datum.nu med ett antal tillägg installerade.

Så identifierar du spiontillägg

Analysmetoden vi använt för den här artikeln är simpel, men effektiv för att identifiera uppenbara exempel på spionage. Du kan själv använda den för att analysera de webbläsartillägg du använder till vardags eller inom din organisation. Så här går du tillväga:

1. Installera tillägget i en virtuell maskin så att du kan särskilja trafik från den virtuella maskinen.
2. Försäkra dig om att du inte är inloggad med ditt eget Google-konto när du genomför analysen, tillägg synkroniseras nämligen som standard mellan dina webbläsare.
3. Använd verktyg som Wireshark och Owasp Zap Web Proxy för att analysera nätverkstrafiken.
4. Besök enkla sidor med väldigt lite innehåll, det blir då lättare att urskilja trafik som genereras av webbläsartillägget. Många tillägg kodar informationen för att dölja sitt beteende, vilket i sig är en tydlig indikator på att insamlingen är av tveksam natur.
5. Vill du göra en djupare analys av koden kan du enkelt döpa om webbläsartilläggets crx-fil till zip och extrahera koden.

Den här analysmetoden fångar dock bara tillägg som omedelbart skickar sina insamlade data. För bättre garantier bör analysen pågå under längre tid och på flera olika sidor.

Att ett tillägg framstår som säkert vid tiden då det analyseras säger tyvärr inte något om dess framtida beteende. Ett stort problem som försvårar analysen är att koden inte är statisk. Elak kod kan läggas till genom uppdateringar eller laddas dynamiskt efter att tillägget installerats. Det finns exempel på att populära tillägg köpts upp för att snart därefter uppdateras med kod som visar annonser eller spionerar på användarna.

TechWorlds slutsats

Webbläsartillägg som spionerar på sina användare är ett växande problem. Att fem av de 44 vanligaste tilläggen till Google Chrome samlar känslig data om sina användare ger en fingervisning om problemets omfattning. Exakt hur många användare som drabbas är svårt att säga, men det är tydligt att det rör sig om miljontals.

Googles otydliga regelverk och svårigheten att analysera ett tilläggs källkod gör att situationen troligtvis inte kommer att bättras nämnvärt inom den närmaste framtiden. Men genom att kontrollera vilka rättigheter ett tillägg begär och analysera trafiken som det genererar kan du få en uppfattning om vad tillägget egentligen gör. Med lite tur kan du fånga spionerande tillägg och skydda din integritet innan några data hunnit läcka.