Как стать автором
Обновить
45.25
Рейтинг
VDSina.ru
Серверы в Москве и Амстердаме

Пользуетесь Google Chrome? Значит Google собирает ваши данные через X-client-data

Блог компании VDSina.ru Информационная безопасность *Google Chrome Браузеры Законодательство в IT
Многие считают сервисы Google полезными и удобными в использовании, однако у них есть как минимум одна важная особенность. Речь идет о постоянной слежке за пользователями, об интенсивном сборе и отправке данных об их активности.

Далеко не все пользователи представляют, какого рода данные собирает компания, и в каких объемах. Но многие принципиально относятся к своей конфиденциальности, а некоторые готовы усмотреть нарушение тайны частной жизни даже в отправке лога с чисто техническими сведениями. Однако иногда на путь борьбы с Google выходят по-настоящему продвинутые пользователи.

25 мая 2018 года вступил в силу GDPR General Data Protection Regulation — закон, принятый Европейским Парламентом, который ужесточил и унифицировал правила защиты данных пользователей. ЕС принял такое решение из-за растущего количества крупных утечек персональных данных, которые собирают такие ИТ-гиганты, как Google и Facebook. Однако фактически этот закон повлиял не только на граждан ЕС, но и на весь остальной мир.

Многие интернет-сервисы, работая в разных странах, тем не менее, стараются соответствовать самым жестким требованиям к конфиденциальности. Так что, GDPR де-факто стал мировым стандартом.

Так что там у Google


Во вторник, 4 февраля 2020 года, Арно Гранал, разработчик браузера Kiwi на базе Chromium, поднял вопрос о передаче так называемого «уникального идентификатора», который формирует Google Chrome при установке. Гранал предположил, что его может использовать, по крайней мере, сама компания Google.

Он и некоторые другие пользователи предполагают, что это бэкдор, который она может использовать в своих целях. И в таком случае можно говорить о нарушении закона GDPR, поскольку этот уникальный идентификатор можно рассматривать как данные, позволяющие однозначно установить личность пользователя.

Корпорация Google никак не прокомментировала проблему. А официальные документы и прочие послания компании не позволяют до конца прояснить ситуацию.

Как это работает


Когда браузер запрашивает веб-страницу с сервера, он отправляет HTTP-запрос, который содержит набор заголовков, представляющих собой пары ключ-значение, разделенные двоеточиями. Эти заголовки в том числе определяют, в каком формате нужно прислать данные. Например,

accept: text / html

Ранее (как минимум с 2012 года) Chrome отправлял заголовок под названием «X-client-data», также известный как «X-chrome-variations», чтобы тестировать функции, находящиеся в разработке. Google активирует часть этих функций при установке браузера. Информация о них отображается, когда вы вводите chrome://version в адресную строку Chrome.

Variations:  202c099d-377be55a

В строке 32 файла исходного кода Chromium, заголовок X-client-data отправляет Google информацию о наборе тестов (Field Trials) для текущего пользователя Chrome.
«Заголовок Chrome-Variations (X-client-data) не будет содержать никакой информации, позволяющей установить личность, и будет описывать только параметры установки самого Chrome, включая active variations, а также данные об экспериментах на стороне сервера, которые могут повлиять на установку», — говорится в руководстве по возможностям Google Chrome.

Однако это не совсем так.

Для каждой установки Google Chrome случайным образом генерирует число от 0 до 7999 (до 13 бит). Это число соответствует набору рандомно активированных экспериментальных функций.

Чем больше пустых битов, тем труднее сформировать отпечаток браузера с высокой степенью уникальности, и наоборот. Но если комбинировать эти данные со статистикой использования и отчеты о сбоях, которые включены по умолчанию, то для большинства пользователей Chrome все-таки можно получить отпечатки с достаточно высокой точностью.

Отпечаток «определяется вашим IP-адресом, операционной системой, версией Chrome и другими параметрами, а также параметрами вашей установки», — объясняет Гранал.

Если вы, например, посетите YouTube, в заголовок будет включена строка вида:

X-client-data: CIS2yQEIprbJAZjBtskBCKmdygEI8J/KAQjLrsoBCL2wygEI97TKAQiVtcoBCO21ygEYq6TKARjWscoB

Это можно проверить самостоятельно, если открыть в Google Chrome консоль разработчика, а затем вкладку Network и далее перейти на сайт youtube.com, или doubleclick.net например.

По словам Гранала, доступ к таким идентификаторам имеют только сайты youtube.com, google.com, doubleclick.net, googleadservices.com и некоторые другие сервисы Google. Но только в том случае, если браузер не находится в режиме инкогнито.

Лучшая защита


Если к X-client-data имеет доступ только Google, это может говорить о том, что компания защищает данные пользователей от всех, кроме самой себя.

Лукаш Олейник, независимый исследователь и консультант по защите персональных данных, полагает, что эту функцию могут использовать в корыстных целях, хотя вполне возможно, что она создавалась для отслеживания технических проблем.
«Я полагаю, что большинство пользователей не имеют представления об этом идентификаторе, о том, что он делает и когда используется. И возможно, проблема заключается в том, что идентификатор остается постоянным и не сбрасывается, когда пользователь очищает данные браузера. В этом смысле его можно считать отпечатком. [Пока] главный риск заключается в том, что данные отправляют сайтам, которыми управляет только одна организация».
Гранал отмечает, что такой механизм передачи данных можно рассматривать как уязвимость. В исходном коде Chromium реализована лишь проверка предварительно заданного списка доменов Google, но он не проверяет другие домены. Поэтому злоумышленник может купить домен, например, youtube.vg, и развернуть на нем веб-сайт для сбора заголовков X-client-data.

Недокументированные возможности


В августе 2017 года специалисты «Лаборатории Касперского» обнаружили бэкдор в NetSarang, популярном софте для управления корпоративными серверами. Бэкдор ShadowPad был найден в ходе анализа подозрительных DNS-запросов в корпоративной сети одной из крупных фирм, установивших себе софт. Через бэкдор злоумышленники получали доступ к конфиденциальным данным организаций, использующих NetSarang.

Компания-разработчик заявила, что ничего не знала об этом, а вредоносный код в их продукт внедрили неизвестные злоумышленники. Однако, после того, как бэкдор был найден, специалисты NetSarang подозрительно быстро ликвидировали уязвимость.

Часто ли компании закрывают глаза на такие недокументированные возможности?

Теги:
Хабы:
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 17K
Комментарии Комментарии 16

Информация

Дата основания
Местоположение
Россия
Сайт
vdsina.ru
Численность
11–30 человек
Дата регистрации
Представитель
Mikhail