8 апреля всем миром пишем Тотальный диктант с Dr.Web. Подробнее
  • добавить в избранное
    Добавить в закладки

Под прицелом суперкуки

Прочитали: 2142 Комментариев: 147 Рейтинг: 262

До сих пор встречаются пользователи, которые удивляются тому факту, что как только они стали искать что-то в поисковике, то сразу начинают получать рекламу именно с этой тематикой. Автор этого выпуска, оставшись как-то раз с отключенным блокировщиком рекламы, начал массово получать ссылки, ведущие на вредоносные файлы. Какая сфера интересов, такая и реклама :)

Причина этого очевидна: программные продукты (особенно бесплатные) собирают о нас информацию и продают ее своим партнерам.

Федеральная торговая комиссия США (US Federal Trade Commission, FTC) оштрафовала одного из крупнейших мировых производителей смарт-телевизоров Vizio на $2,2 млн за шпионаж за своими клиентами. Полученную информацию Vizio продавала сторонним компаниям.

Согласно пресс-релизу FTC, Vizio установила отслеживающее ПО в 11 млн «умных» телевизоров и использовала его для сбора данных о поведении пользователей, об их IP-адресах, ближайших точках доступа и ZIP-кодах. Производитель также собирал данные о дате, времени и канале, на котором транслировались просмотренные пользователем ТВ-шоу, просматривались они в реальном времени или в записи и т.д. Собранные сведения Vizio продавала сторонним компаниям, которые использовали информацию для показа таргетинговой рекламы.

Кроме того, в руки рекламных компаний попадала исчерпывающая информация о самих пользователях: возраст, пол, семейное положение, уровень доходов, информация о полученном образовании.

Производитель маскировал шпионское ПО под функцию Smart Interactivity, которая должна была отображать рекомендации и предлагать пользователям посмотреть тот или иной контент. На деле никаких рекомендаций функция не давала, а пользователи даже не догадывались, что телевизор внимательно следит за каждым их шагом. Прокуратура сообщает, что разработчики Vizio намеренно выпускали обновления с функциональностью Smart Interactivity даже для старых моделей телевизоров, чтобы собирать данные о большем количестве людей.

https://www.ftc.gov/system/files/documents/cases/170206_vizio_2017.02.06_complaint.pdf
http://www.securitylab.ru/news/485264.php

Не совсем понятно, как телевизор мог собирать информацию о поле и возрасте. Но в принципе возможно и такое: современные телевизоры могут принимать голосовые команды, а значит, постоянно «слышат» происходящее вокруг.

«Умные» телевизоры Samsung не только распознают голосовые команды пользователя, но также передают их третьим сторонам. «Для обеспечения работы функции распознавания голоса некоторые голосовые команды могут передаваться (наряду с информацией о вашем устройстве, в том числе данные о его идентификаторе) сторонним сервисам, которые конвертируют речь в текст или другие форматы, необходимые для работы функции распознавания голоса», - говорится в нормах политики конфиденциальности Samsung.

Вдобавок к вышесказанному, компания оставляет за собой право сохранять собранные голосовые команды и связанный с ними текст. Таким образом, Samsung может идентифицировать пользователя и «подслушивать» все, что он говорит своему телевизору.

«Пожалуйста, внимательно относитесь к тому, содержат ли сказанные вами слова персональную или другую чувствительную информацию, поскольку эти данные будут переданы третьим сторонам», - предупреждает Samsung. Из этого следует, что пароли тех, кто, к примеру, с помощью «умного» телевизора пользуется услугами online-банкинга, регулярно отправляются сторонним сервисам.

http://www.securitylab.ru/news/471049.php

Отличный подарок промышленным шпионам!

Но собрать информацию мало, ведь современный пользователь имеет несколько компьютеров и мобильных устройств, может выходить в Интернет по личным делам не только из дома, но и (чего скрывать!) с рабочего компьютера. Вот было бы хорошо идентифицировать его вне зависимости от местонахождения! И это возможно – благодаря тому, что привычки и предпочтения человека не меняются, где бы он ни находился.

Группа исследователей из Стэнфордского и Принстонского университетов разработала систему, определяющую профили в Твиттере. Алгоритм выбрал правильный профиль в 72% случаев, а в 81% профиль оказывался в ТОП-15.

Исследователи исходили от предположения, что человек скорее перейдет по той ссылке, которой поделились друзья в социальных сетях, чем по случайной ссылке. Учитывая эту информацию, а также историю браузера анонимного источника (полученную с помощью установленного в браузер плагина), исследователи могут вычислить вероятность того, что какой-либо пользователь Твиттера создал эту историю просмотра. Такая привычка переходить по ссылкам демаскирует пользователя, и этот процесс занимает меньше минуты.

https://geektimes.ru/post/285646/

А если пользователь не будет постоянно сидеть в Твиттере или другой соцсети, что не позволит вычислить его различным компаниям, промышляющим рекламой? Желательно, деанонимизировав пользователя, в дальнейшем ориентироваться на постоянные признаки компьютера, на хозяина которого нацелена реклама. И это тоже возможно!

С компьютера пользователя получаются все специфичные и уникальные настройки браузера и компьютера в целом. Эти данные объединяются в огромную строку, затем специальная функция превращает их в компактные красивые идентификаторы.

https://habrahabr.ru/company/oleg-bunin/blog/321294

Не будем перечислять все параметры, которые могут использоваться для формирования идентификатора (их можно найти, например, по ссылке выше). Но несколько примеров приведем. Запрашиваются часовой пояс (это, кстати, может локализовать и ваше местонахождение с достаточной для рекламы точностью), язык операционной системы и браузера, размер экрана, количество цветов. Из браузера запрашиваются поддерживаемые технологии и перечень установленных плагинов. Версия операционной системы, тип процессора, состав ПО – используются не только параметры системы.

Прорисовка шрифтов очень платформозависима. Внешне идентичные одинаковые изображения, нарисованные в разных браузерах, будут преобразованы в разный байтовый массив. Почему? Это зависит от процессора, видеокарты, драйверов видеокарты, системных библиотек, таких как direct X, систем отрисовки шрифтов, теней — все это на каждом компьютере может быть свое, поэтому результирующий байтовый массив будет отличаться практически на каждом компьютере, где будет разная аппаратная и программная начинка. И эта длинная строка, полученная при сериализации Сanvas будет присоединена к итоговому отпечатку, и мы получим огромную строку.

Исследования показали, что точность идентификации компьютера достигает 90-91%. Великолепный результат для любопытствующих!

После того, как идентификатор получен, желательно спрятать его на компьютере так, чтобы пользователь не мог его удалить.

Известно, что браузер сохраняет параметры в файлы http cookie. Можно записать туда, но пользователи стали грамотными и чистят эти «куки». На помощь рекламодателям приходят «суперкуки» (evercookie, persistent cookie).

Так что у рекламодателей и прочих «шпионов» есть несколько вариантов получить информацию о вас. Современные браузеры все еще используют Flash – отдельный плагин браузера, который хранит настройки самостоятельно, и потому браузер не удаляет его «куки» (Flash cookies).

До недавнего времени Flash cookies были практически неудаляемыми. Существовала специальная страница на сайте macromedia, куда нужно было зайти, нажать кнопку: «Да, я хочу очистить Flash cookies», и тогда они очищаются, т.е. без этой страницы было очистить невозможно.

Еще один плагин браузера – Silverlight, за которым тянутся Silverlight Cookies, они же Isolated Storage. Это специальное выделенное место на жестком диске, куда записывается cookie-информация. И она тоже функцией очистки «куки» не удаляется.

Идентификатор можно сохранить в кэше браузера. Дело в том, что это достаточно умная вещь: сайт, отдавая браузеру некий файл, может отметить, что данный файл не будет изменяться, скажем, 50 лет – и браузер более не будет его запрашивать. Это позволяет хранить идентификаторы в специальной картинке, в байты которой закодирована информация, которую вы сохранили. При каждом новом посещении страницы нужного сайта из нее считываются байты и восстанавливается сохраненная информация, которую вы хотели сохранить в cookie.

И это далеко не все. Можно сохранить «неубиваемую» информацию в HTML5 Session Storage, HTML5 Local Storage, HTML5 Global Storage, HTML5 Database Storage через SQLite (https://ru-sf.ru/threads/neudaljaemye-cookie-evercookie.894)...

#cookies #JavaScript #анонимность #безопасность #отслеживание_местоположения #слежка #браузер

Dr.Web рекомендует

Посещение сайтов, а особенно торговых площадок, рано или поздно добавит вас в списки тех, кому направляется реклама, – и поделать с этим ничего нельзя. Но снизить риск можно, отключив использование JavaScript (для тех сайтов, где это возможно) и неиспользуемые плагины, а также регулярно очищая историю браузера, т. е. удаляя сохраненные «куки» и очищая кэш.

Получайте Dr.Web-ки, оценивая выпуск! (1 голос = 1 Dr.Web-ка)

Авторизуйтесь и получите 10 Dr.Web-ок за публикацию ссылки на выпуск в соцсети.

[MAIL.RU] [Twitter]

В связи с техническими ограничениями Вконтакте и Facebook, мы, к сожалению, не можем дать Dr.Web-ок. Но зато вы можете поделиться ссылкой на этот выпуск безвозмездно. Т.е. даром.

Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: